기밀 컴퓨팅

Confidential Computing는 데이터 무결성, 데이터 기밀성, 코드 무결성에 대한 보안 수준을 향상하는 환경의 일종인 하드웨어 기반 TEE(신뢰 실행 환경)를 사용하여 사용 중 데이터를 보호할 수 있는 기술입니다.

1. SUSE Manager 포함 Confidential Computing

TEE의 신뢰성은 증명 프로세스를 통해 확인할 수 있습니다. SUSE Manager은(는) 등록된 시스템의 인증 서버로 사용할 수 있습니다. 그리고 이 모드로 실행되는 시스템에 대한 보고서 페이지를 생성합니다. 이러한 시스템은 정기적으로 증명 및 검사해야 합니다. 과거 검사 기록도 저장되며 요청에 따라 사용할 수 있습니다.

Confidential Computing 증명은 사용되는 하드웨어와 증명 대상 시스템이 실행되는 환경에 따라 달라집니다.

Confidential Computing 증명은 x86_64 아키텍처에서만 사용할 수 있습니다.

2. 요구사항

Confidential Computing는 특성이 다음과 같은 환경에서 설정할 수 있습니다.

  • 증명되는 시스템(가상 머신)이 SLES15 SP6이며 SUSE Manager(으)로 부트스트랩됩니다.

  • Hardware must have AMD EPYC Milan CPU or AMD EPYC Genoa CPU

  • Confidential Computing 증명을 허용하도록 BIOS를 구성해야 합니다.

  • 호스트 OS 및 가상화 소프트웨어(KVM 및 libvirt)가 Confidential Computing를 지원해야 합니다.

3. 제한 사항

  • SLES15 SP6에는 Confidential Computing 증명이 기술 미리 보기로 제공됩니다.

  • SUSE Manager에는 Confidential Computing 증명이 기술 미리 보기로 제공됩니다.

  • 보안 부트가 증명되었습니다. 그러나 현재 KVM 보안 부트와 SNP 게스트는 함께 작동하지 않습니다.

4. SUSE Manager에서 Confidential Computing 사용

호스트에서 Confidential Computing를 설정 및 구성하는 정확한 단계는 OS 제조업체 설명서를 참조하십시오.

절차: SUSE Manager 설치 중에 증명 컨테이너 활성화
  1. The attestation container is enabled during the installation of SUSE Manager with mgradm install podman.

  2. Add the following to file mgradm.yaml.

    coco:
        replicas: 1
절차: SUSE Manager 설치 후 증명 컨테이너 활성화
  1. To enable the attestation container after the installation, use the command line parameter mgradm.

  2. 명령 실행

    mgradm scale uyuni-server-attestation --replicas 1
절차: SUSE Manager 설치 후 증명 컨테이너 비활성화
  1. 이미 활성화된 증명 컨테이너를 비활성화하려면 다음 명령을 실행합니다.

    mgradm scale uyuni-server-attestation --replicas 0
절차: 증명 활성화
  1. 선택한 시스템의 경우 탭 메뉴: 감사[기밀 컴퓨팅 > 설정]으로 이동합니다.

  2. 토글 버튼을 선택하여 증명을 활성화합니다.

  3. In the field Environment Type select the correct option from the drop-down list.

  4. 저장 버튼을 클릭하여 변경 내용을 저장합니다.

절차: 새 증명 예약
  1. 선택한 시스템의 경우 tab 감사  기밀 컴퓨팅  증명 나열로 이동합니다.

  2. 증명 예약을 클릭합니다. 새 양식이 열립니다.

  3. In the field Earliest select the time of running the attestation.

  4. If needed, add the newly created attestation to the action chain by selecting Add to option.

  5. 일정 버튼을 클릭하여 새 증명 실행을 저장하고 예약합니다.

절차: 시스템의 증명 보고서 세부 정보 보기
  1. 선택한 시스템의 경우 tab 감사  기밀 컴퓨팅  증명 나열로 이동합니다.

  2. 확인할 보고서를 찾아 선택합니다.

  3. After clicking the selected attestation report tab Overview will open.

  4. Move to the next tab SEV-SNP.

  5. Finally, move to the next tab Secure Boot.

절차: 감사에서 증명 보고서 보기
  1. 탐색 모음에서 감사  기밀 컴퓨팅을 선택합니다.

  2. 모든 증명의 목록이 기본 패널에 표시됩니다.

  3. 확인할 보고서를 찾아 선택합니다.

4.1. 보고서 상태

증명 보고서의 상태는 다음 중 하나일 수 있습니다.

보류 중

예약된 증명의 기본 상태입니다. 프로세스가 아직 시작되거나 완료되지 않았기 때문에 보고서를 아직 사용할 수 없습니다.

성공

When the scheduled attestation creates a report which can be viewed, the status of the process is Successful.

실패

When the scheduled fails and does not create a report as a result, the status of the process is Failed.

5. 관련 주제

Confidential Computing에 대한 자세한 내용은 여기를 참조하십시오.