コンフィデンシャルコンピューティング

Confidential Computingは、ハードウェアベースの高信頼実行環境(TEE)を利用して、使用中のデータを保護できる技術です。TEEとは、データの整合性、データの機密性、およびコードの整合性に対して強化されたレベルのセキュリティを提供する環境のタイプです。

1. SUSE ManagerでのConfidential Computing

TEEの信頼性は認証プロセスによってチェックされます。SUSE Managerを、登録されているシステムの認証サーバとして使用できます。これにより、このモードで動作しているシステムのレポートページが生成されます。これらのシステムは定期的に認証およびチェックする必要があります。過去のチェックの履歴も保存されており、要求に応じて利用できます。

Confidential Computingの検証は、認証されるシステムが実行されている使用ハードウェアと環境によって異なります。

Confidential Computingの認証はx86_64アーキテクチャでのみ利用できます。

2. 要件

Confidential Computingは、次の特性を持つ環境にセットアップできます。

  • 認証されるシステム(仮想マシン)がSLES15 SP6であり、SUSE Managerにブートストラップされる

  • ハードウェアにAMD EPYC Milan CPUまたはAMD EPYC Genoa CPUが搭載されている必要がある

  • BIOSがConfidential Computingの認証を許可するように設定されている必要がある

  • ホストOSと仮想化ソフトウェア(KVMおよびlibvirt)でConfidential Computingがサポートされている必要がある

3. 制限事項

  • SLES15 SP6のConfidential Computingの認証はテクノロジプレビューとして提供されています。

  • SUSE ManagerのConfidential Computingの検証はテクノロジプレビューとして提供されています。

  • セキュアブートは認証されますが、現在のところKVMセキュリティブートとSNPゲストは同時に使用できません。

4. SUSE ManagerでのConfidential Computingの使用

Confidential Computingをホストにセットアップして設定する正確な手順については、OSベンダのマニュアルを参照してください。
プロシージャ: SUSE Managerのインストール中に認証コンテナを有効にする

  1. 認証コンテナは、mgradm install podmanを使用してSUSE Managerをインストールする際に有効にします。

  2. ファイルmgradm.yamlに以下を追加します。

    coco:
    replicas: 1
プロシージャ: SUSE Managerのインストール後に認証コンテナを有効にする

  1. インストール後に認証コンテナを有効にするには、コマンドラインパラメータmgradmを使用します。

  2. 次のコマンドを実行します。

    mgradm scale --coco-replicas 1
プロシージャ: SUSE Managerのインストール後に認証コンテナを有効にする

  1. すでに有効な認証コンテナを無効にするには、次のコマンドを実行します。

    mgradm scale --coco-replicas 0
プロシージャ: 認証を有効にする

  1. 選択したシステムで、監査  Confidential Computing  設定 (コンフィデンシャルコンピューティング > 設定)に移動します。

  2. トグルボタンを選択して認証を有効にします。

  3. フィールド環境タイプで、ドロップダウンリストから正しいオプションを選択します。

  4. 保存をクリックして、変更を保存します。

    attestation1 v2
プロシージャ: 新しい認証をスケジュールする

  1. 選択したシステムで、監査  Confidential Computing  List Attestations (コンフィデンシャルコンピューティング > 認証の一覧)タブに移動します。

  2. 認証のスケジュールを設定するをクリックします。新しいフォームが開きます。

  3. 指定時刻以降にスケジュールで、認証の実行時刻を選択します。

  4. 必要に応じて、以下に追加オプションを選択して、新しく作成した認証を動作チェーンに追加します。

  5. スケジュールをクリックして、新しい認証の実行を保存してスケジュールします。

    attestation2 v2

  6. 選択したシステムで、監査  Confidential Computing  List Attestations (コンフィデンシャルコンピューティング > 認証の一覧)タブに移動します。

  7. 表示するレポートを見つけて選択します。

    attestation3 v2

  8. 選択した検証レポートをクリックすると、概要タブが開きます。

    attestation4 v2

  9. 次のタブSEV-SNPに移動します。

    attestation4 v2

  10. 最後に、次のタブセキュアブートに移動します。

    attestation6 v2
プロシージャ: 監査から検証レポートを表示する

  1. ナビゲーションバーから、監査  Confidential Computing (コンフィデンシャルコンピューティング )を選択します。

  2. メインパネルにすべての認証の一覧が表示されます。

    attestation7 v2

  3. 表示するレポートを見つけて選択します。

4.1. レポートのステータス

認証レポートは次のいずれかのステータスになります。

待機中

これはスケジュールされた認証のデフォルトのステータスです。プロセスがまだ開始されていないか完了していないため、レポートはまだ利用可能ではありません。

成功

スケジュールされた認証によって、表示可能なレポートが作成されると、プロセスのステータスは成功になります。

失敗

スケジュールされた認証が失敗し、その結果レポートが作成されない場合、プロセスのステータスは失敗になります。

5. 関連トピック