Linux Address Space Isolation Revived After Lowering 70% Performance Hit to 13%

Google возобновляет работу над Address Space Isolation (ASI) — механизмом защиты ядра Linux от атак спекулятивного исполнения. Первоначально он терпел неудачу из-за 70 % просадки I/O, но инженеру Brendan Jackman удалось снизить потери до 13 %.

Текущий прототип демонстрирует, что ASI можно использовать не только в KVM, но и на «голом» железе. Остались узкие места:

лишние выходы из ASI при каждом context_switch();
обнуление чувствительных страниц аллокатором;
copy-on-write для пользовательских страниц.

Jackman предложил решения через «ephmap» и просит сообщество x86 оценить, достаточно ли прогресса для включения ASI в основную ветку ядра.

Комментарии (46)

Google выплатил рекордный баг-баунти $150 k за уязвимость, которую можно было бы предотвратить с помощью ASI; обсуждают, стоит ли ради безопасности жертвовать производительностью.
Участники спорят, можно ли отключить старые митигации и вернуть часть потерянных процентов, а также сравнивают накладные расходы ASI, VBS и других решений.
Некоторые считают, что в публичных облаках такие меры необходимы для изоляции гостей, тогда как для большинства задач достаточно лёгкой виртуализации или Qubes.
Поднимаются теории «замедления по заговору»: чем больше митигирующих патчей, тем больше продаётся CPU и облачных ресурсов.
Упоминаются аппаратные подходы RISC-V (timing fence) и перспектива совместной оптимизации памяти между хостом и гостем для снижения накладных расходов.