/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/08/ubuntu-AMD-SEV-SNP-confidential-computing.jpg "Ubuntu 25.04 svela il supporto AMD SEV-SNP: il confidential computing diventa realtà")
Con Ubuntu 25.04, Canonical ha introdotto una novità di rilievo nel panorama della virtualizzazione sicura: il pieno supporto host per le specifiche AMD SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging). La funzionalità, già disponibile lato guest dal rilascio di Ubuntu 22.04 LTS, segna un passo cruciale verso l’adozione diffusa del confidential computing anche in ambienti privati, preparando il terreno per il futuro rilascio LTS 26.04, previsto per aprile 2026.
Sebbene Ubuntu 25.04 fosse disponibile in versione finale già da aprile 2025, Canonical ha scelto di annunciare ufficialmente il supporto per AMD SEV-SNP solo ora per evidenziare il passaggio dalla fase di testing alla disponibilità completa in produzione, confermando che lo stack host è ora stabile, pronto per l’uso nei data center enterprise e cloud privati. La tempistica riflette anche la necessità di garantire che tutti i componenti critici – kernel, moduli KVM, QEMU e integrazione con le macchine virtuali guest – fossero completamente testati e certificati prima della promozione della funzionalità “al grande pubblico”.
Confidential computing: cos’è e a cosa serve
Il confidential computing è un paradigma di sicurezza informatica che mira a proteggere i dati e le applicazioni anche mentre sono in uso, superando i limiti delle tradizionali misure di protezione basate solo su crittografia dei dati a riposo o in transito.
Attraverso l’uso di tecnologie hardware avanzate, come i processori con enclavi sicure o le estensioni SEV-SNP di AMD, il confidential computing crea un perimetro di fiducia isolato direttamente nel processore, impedendo che dati personali e riservati possano essere letti o manipolati dal sistema operativo, dall’hypervisor o da eventuali amministratori di sistema non autorizzati.
Grazie a questo schema, diventa possibile eseguire applicazioni critiche, come analisi di dati personali, inferenze basate su modelli AI o elaborazioni finanziarie, in ambienti condivisi – cloud pubblici o privati – garantendo che le informazioni restino sempre criptate e accessibili solo alle applicazioni autorizzate. Il risultato è un modello di sicurezza più robusto, che trasferisce la fiducia dal software al silicio, riducendo drasticamente i rischi legati a vulnerabilità del sistema o insider threat.
AMD SEV-SNP: importante cambio di passo nella fiducia computazionale
Tradizionalmente, i modelli di sicurezza in ambito enterprise si sono basati sull’assunzione di fiducia verso l’intero stack di sistema: firmware, kernel dell’host, hypervisor e persino nei confronti degli amministratori con accesso privilegiato.
Un approccio di questo tipo non è però più sufficiente. La complessità del software e l’emergere di minacce interne o vulnerabilità non patchate rendono evidente che la fiducia deve spostarsi dal software all’hardware. È qui che entra in gioco AMD SEV-SNP:
- Cifra la memoria delle macchine virtuali con chiavi dedicate per ogni macchina virtuale, inaccessibili al software dell’host.
- Introduce un controllo di integrità della memoria basato su nested page table sicure, gestite dal Processore di Sicurezza AMD (PSP).
- Eleva la fiducia dal livello del sistema operativo a quello dell’hardware, creando confini crittografici impenetrabili tra macchine virtuali e host.
Non si tratta di un semplice miglioramento incrementale, ma di una trasformazione radicale del concetto stesso di fiducia nell’infrastruttura IT.
Ubuntu 25.04: lo stack tecnico per SEV-SNP
Con Ubuntu 25.04, Canonical fornisce tutto il necessario per attivare un host di confidential computing su piattaforme AMD EPYC Milan e Genoa, senza più la necessità di caricare patch o ricorrere a build sperimentali. Lo stack implementato a livello di sistema operativo poggia sul kernel Linux 6.14, con moduli KVM e componenti crittografici dedicati a SEV-SNP; QEMU 9.2; si integra in modo trasparente con il supporto guest già presente in Ubuntu 22.04 LTS.
Il risultato è la possibilità di gestire l’intera catena di fiducia – host e guest – con un unico sistema operativo, end-to-end. E Ubuntu è di fatto il primo sistema operativo Linux, utilizzabile in produzione, a supportare completamente lo stack SEV-SNP sia lato client che host.
Confidential computing anche nei data center privati
Un errore comune è considerare il confidential computing esclusivamente come una tecnologia appannaggio del cloud pubblico, utile a isolare i carichi di lavoro dagli operatori cloud. In realtà, anche i data center privati sono esposti agli stessi rischi.
Tra i casi d’uso più rilevanti, vi sono la gestione di dati sensibili e regolamentati, come quelli in ambito sanitario o finanziario; configurazioni Confidential SaaS; protezione di modelli di intelligenza artificiale.
Il supporto introdotto con Ubuntu 25.04 non è un traguardo isolato, ma l’inizio di un percorso. Canonical ha sottolineato il suo impegno nel collaborare con AMD e con l’intera comunità open source per rendere il confidential computing una realtà accessibile e pronta per la produzione.
/https://www.ilsoftware.it/app/uploads/2025/08/debian-13-novita.jpg "Debian 13 Trixie svela funzionalità nascoste che semplificano la vita agli utenti Linux")
/https://www.ilsoftware.it/app/uploads/2025/08/docker-immagini-backdoor-zx-utils.jpg "Backdoor XZ-Utils: ancora presente in 35 immagini Docker, ecco rischi e mitigazioni")
/https://www.ilsoftware.it/app/uploads/2025/08/openssh-crittografia-post-quantistica.jpg "OpenSSH e crittografia post-quantistica: sicurezza SSH per il futuro")
/https://www.ilsoftware.it/app/uploads/2025/08/linus-torvalds-contesta-patch-kernel-linux-risc-v.jpg "Linus Torvalds respinge una patch RISC-V di Google: è spazzatura")