コンフィデンシャルコンピューティング

Confidential Computingは、ハードウェアベースの高信頼実行環境(TEE)を利用して、使用中のデータを保護できる技術です。TEEとは、データの整合性、データの機密性、およびコードの整合性に対して強化されたレベルのセキュリティを提供する環境のタイプです。

1. SUSE Multi-Linux ManagerでのConfidential Computing

TEEの信頼性は認証プロセスによってチェックされます。SUSE Multi-Linux Managerを、登録されているシステムの認証サーバとして使用できます。これにより、このモードで動作しているシステムのレポートページが生成されます。これらのシステムは定期的に認証およびチェックする必要があります。過去のチェックの履歴も保存されており、要求に応じて利用できます。

Confidential Computingの検証は、認証されるシステムが実行されている使用ハードウェアと環境によって異なります。

Confidential Computingの認証はx86_64アーキテクチャでのみ利用できます。

2. 要件

Confidential Computingは、次の特性を持つ環境にセットアップできます。

  • 認証されるシステム(仮想マシン)がSLES15 SP6であり、SUSE Multi-Linux Managerにブートストラップされる

  • Hardware must have AMD EPYC Milan CPU or AMD EPYC Genoa CPU

  • BIOSがConfidential Computingの認証を許可するように設定されている必要がある

  • ホストOSと仮想化ソフトウェア(KVMおよびlibvirt)でConfidential Computingがサポートされている必要がある

3. 制限事項

  • SLES15 SP6のConfidential Computingの認証はテクノロジプレビューとして提供されています。

  • SUSE Multi-Linux ManagerのConfidential Computingの検証はテクノロジプレビューとして提供されています。

  • セキュアブートは認証されますが、現在のところKVMセキュリティブートとSNPゲストは同時に使用できません。

4. SUSE Multi-Linux ManagerでのConfidential Computingの使用

Confidential Computingをホストにセットアップして設定する正確な手順については、OSベンダのマニュアルを参照してください。

プロシージャ: SUSE Multi-Linux Managerのインストール中に認証コンテナを有効にする
  1. The attestation container is enabled during the installation of SUSE Multi-Linux Manager with mgradm install podman.

  2. Add the following to file mgradm.yaml.

    coco:
        replicas: 1
プロシージャ: SUSE Multi-Linux Managerのインストール後に認証コンテナを有効にする
  1. To enable the attestation container after the installation, use the command line parameter mgradm.

  2. 次のコマンドを実行します。

    mgradm scale uyuni-server-attestation --replicas 1
プロシージャ: SUSE Multi-Linux Managerのインストール後に認証コンテナを無効にする
  1. すでに有効な認証コンテナを無効にするには、次のコマンドを実行します。

    mgradm scale uyuni-server-attestation --replicas 0
プロシージャ: 認証を有効にする
  1. 選択したシステムで、監査  Confidential Computing  設定 (コンフィデンシャルコンピューティング > 設定)に移動します。

  2. トグルボタンを選択して認証を有効にします。

  3. In the field Environment Type select the correct option from the drop-down list.

  4. 保存をクリックして、変更を保存します。

プロシージャ: 新しい認証をスケジュールする
  1. 選択したシステムで、監査  Confidential Computing  List Attestations (コンフィデンシャルコンピューティング > 認証の一覧)タブに移動します。

  2. 認証のスケジュールを設定するをクリックします。新しいフォームが開きます。

  3. In the field Earliest select the time of running the attestation.

  4. If needed, add the newly created attestation to the action chain by selecting Add to option.

  5. スケジュールをクリックして、新しい認証の実行を保存してスケジュールします。

プロシージャ: システム詳細から検証レポートを表示する
  1. 選択したシステムで、監査  Confidential Computing  List Attestations (コンフィデンシャルコンピューティング > 認証の一覧)タブに移動します。

  2. 表示するレポートを見つけて選択します。

  3. After clicking the selected attestation report tab Overview will open.

  4. Move to the next tab SEV-SNP.

  5. Finally, move to the next tab Secure Boot.

プロシージャ: 監査から検証レポートを表示する
  1. ナビゲーションバーから、監査  Confidential Computing (コンフィデンシャルコンピューティング )を選択します。

  2. メインパネルにすべての認証のリストが表示されます。

  3. 表示するレポートを見つけて選択します。

4.1. レポートのステータス

認証レポートは次のいずれかのステータスになります。

待機中

これはスケジュールされた認証のデフォルトのステータスです。プロセスがまだ開始されていないか完了していないため、レポートはまだ利用可能ではありません。

成功

When the scheduled attestation creates a report which can be viewed, the status of the process is Successful.

失敗

When the scheduled fails and does not create a report as a result, the status of the process is Failed.

5. 関連トピック

Confidential Computingの詳細については、こちらを参照してください。