コンフィデンシャルコンピューティング
Confidential Computingは、ハードウェアベースの高信頼実行環境(TEE)を利用して、使用中のデータを保護できる技術です。TEEとは、データの整合性、データの機密性、およびコードの整合性に対して強化されたレベルのセキュリティを提供する環境のタイプです。
1. SUSE Multi-Linux ManagerでのConfidential Computing
TEEの信頼性は認証プロセスによってチェックされます。SUSE Multi-Linux Managerを、登録されているシステムの認証サーバとして使用できます。これにより、このモードで動作しているシステムのレポートページが生成されます。これらのシステムは定期的に認証およびチェックする必要があります。過去のチェックの履歴も保存されており、要求に応じて利用できます。
Confidential Computingの検証は、認証されるシステムが実行されている使用ハードウェアと環境によって異なります。
|
Confidential Computingの認証はx86_64アーキテクチャでのみ利用できます。 |
2. 要件
Confidential Computingは、次の特性を持つ環境にセットアップできます。
-
認証されるシステム(仮想マシン)がSLES15 SP6であり、SUSE Multi-Linux Managerにブートストラップされる
-
Hardware must have
AMD EPYC Milan CPUorAMD EPYC Genoa CPU -
BIOSがConfidential Computingの認証を許可するように設定されている必要がある
-
ホストOSと仮想化ソフトウェア(KVMおよびlibvirt)でConfidential Computingがサポートされている必要がある
3. 制限事項
-
SLES15 SP6のConfidential Computingの認証はテクノロジプレビューとして提供されています。
-
SUSE Multi-Linux ManagerのConfidential Computingの検証はテクノロジプレビューとして提供されています。
-
セキュアブートは認証されますが、現在のところKVMセキュリティブートとSNPゲストは同時に使用できません。
4. SUSE Multi-Linux ManagerでのConfidential Computingの使用
|
Confidential Computingをホストにセットアップして設定する正確な手順については、OSベンダのマニュアルを参照してください。 |
-
The attestation container is enabled during the installation of SUSE Multi-Linux Manager with
mgradm install podman. -
Add the following to file
mgradm.yaml.coco: replicas: 1
-
To enable the attestation container after the installation, use the command line parameter
mgradm. -
次のコマンドを実行します。
mgradm scale uyuni-server-attestation --replicas 1
-
すでに有効な認証コンテナを無効にするには、次のコマンドを実行します。
mgradm scale uyuni-server-attestation --replicas 0
-
選択したシステムで、 (コンフィデンシャルコンピューティング > 設定)に移動します。
-
トグルボタンを選択して認証を有効にします。
-
In the field
Environment Typeselect the correct option from the drop-down list. -
保存をクリックして、変更を保存します。
-
選択したシステムで、 (コンフィデンシャルコンピューティング > 認証の一覧)タブに移動します。
-
認証のスケジュールを設定するをクリックします。新しいフォームが開きます。
-
In the field
Earliestselect the time of running the attestation. -
If needed, add the newly created attestation to the action chain by selecting
Add tooption. -
スケジュールをクリックして、新しい認証の実行を保存してスケジュールします。
-
選択したシステムで、 (コンフィデンシャルコンピューティング > 認証の一覧)タブに移動します。
-
表示するレポートを見つけて選択します。
-
After clicking the selected attestation report tab
Overviewwill open. -
Move to the next tab
SEV-SNP. -
Finally, move to the next tab
Secure Boot.
-
ナビゲーションバーから、 (コンフィデンシャルコンピューティング )を選択します。
-
メインパネルにすべての認証のリストが表示されます。
-
表示するレポートを見つけて選択します。
4.1. レポートのステータス
認証レポートは次のいずれかのステータスになります。
- 待機中
-
これはスケジュールされた認証のデフォルトのステータスです。プロセスがまだ開始されていないか完了していないため、レポートはまだ利用可能ではありません。
- 成功
-
When the scheduled attestation creates a report which can be viewed, the status of the process is
Successful. - 失敗
-
When the scheduled fails and does not create a report as a result, the status of the process is
Failed.