기밀 컴퓨팅

Confidential Computing는 데이터 무결성, 데이터 기밀성, 코드 무결성에 대한 보안 수준을 향상하는 환경의 일종인 하드웨어 기반 TEE(신뢰 실행 환경)를 사용하여 사용 중 데이터를 보호할 수 있는 기술입니다.

1. SUSE Manager 포함 Confidential Computing

TEE의 신뢰성은 증명 프로세스를 통해 확인할 수 있습니다. SUSE Manager은(는) 등록된 시스템의 인증 서버로 사용할 수 있습니다. 그리고 이 모드로 실행되는 시스템에 대한 보고서 페이지를 생성합니다. 이러한 시스템은 정기적으로 증명 및 검사해야 합니다. 과거 검사 기록도 저장되며 요청에 따라 사용할 수 있습니다.

Confidential Computing 증명은 사용되는 하드웨어와 증명 대상 시스템이 실행되는 환경에 따라 달라집니다.

Confidential Computing 증명은 x86_64 아키텍처에서만 사용할 수 있습니다.

2. 요구사항

Confidential Computing는 특성이 다음과 같은 환경에서 설정할 수 있습니다.

  • 증명되는 시스템(가상 머신)이 SLES15 SP6이며 SUSE Manager(으)로 부트스트랩됩니다.

  • 하드웨어에 AMD EPYC Milan CPU 또는 AMD EPYC Genoa CPU가 있어야 합니다.

  • Confidential Computing 증명을 허용하도록 BIOS를 구성해야 합니다.

  • 호스트 OS 및 가상화 소프트웨어(KVM 및 libvirt)가 Confidential Computing를 지원해야 합니다.

3. 제한 사항

  • SLES15 SP6에는 Confidential Computing 증명이 기술 미리 보기로 제공됩니다.

  • SUSE Manager에는 Confidential Computing 증명이 기술 미리 보기로 제공됩니다.

  • 보안 부트가 증명되었습니다. 그러나 현재 KVM 보안 부트와 SNP 게스트는 함께 작동하지 않습니다.

4. SUSE Manager에서 Confidential Computing 사용

호스트에서 Confidential Computing를 설정 및 구성하는 정확한 단계는 OS 제조업체 설명서를 참조하십시오.
절차: SUSE Manager 설치 중에 증명 컨테이너 활성화

  1. 증명 컨테이너는 mgradm install podman을 사용하여 SUSE Manager을(를) 설치하는 동안 활성화됩니다.

  2. 다음을 mgradm.yaml 파일에 추가합니다.

    coco:
    replicas: 1
절차: SUSE Manager 설치 후 증명 컨테이너 활성화

  1. 설치 후 증명 컨테이너를 활성화하려면 명령줄 파라미터 mgradm을 사용합니다.

  2. 명령 실행

    mgradm scale --coco-replicas 1
절차: SUSE Manager 설치 후 증명 컨테이너 활성화

  1. 이미 활성화된 증명 컨테이너를 비활성화하려면 다음 명령을 실행합니다.

    mgradm scale --coco-replicas 0
절차: 증명 활성화

  1. 선택한 시스템의 경우 탭 메뉴: 감사[기밀 컴퓨팅 > 설정]으로 이동합니다.

  2. 토글 버튼을 선택하여 증명을 활성화합니다.

  3. 드롭다운 목록의 환경 유형 필드에서 올바른 옵션을 선택합니다.

  4. 저장 버튼을 클릭하여 변경 내용을 저장합니다.

    attestation1 v2
절차: 새 증명 예약

  1. 선택한 시스템의 경우 tab 감사  기밀 컴퓨팅  증명 나열로 이동합니다.

  2. 증명 예약을 클릭합니다. 새 양식이 열립니다.

  3. 가장 먼저 필드에서 증명 실행 시간을 선택합니다.

  4. 필요한 경우 추가 위치 옵션을 선택하여 새로 생성한 증명을 작업 체인에 추가합니다.

  5. 일정 버튼을 클릭하여 새 증명 실행을 저장하고 예약합니다.

    attestation2 v2

  6. 선택한 시스템의 경우 tab 감사  기밀 컴퓨팅  증명 나열로 이동합니다.

  7. 확인할 보고서를 찾아 선택합니다.

    attestation3 v2

  8. 선택한 증명 보고서 탭을 클릭하면 Overview가 열립니다.

    attestation4 v2

  9. 다음 탭 SEV-SNP로 이동합니다.

    attestation5 v2

  10. 마지막으로, 다음 탭 Secure Boot로 이동합니다.

    attestation6 v2
절차: 감사에서 증명 보고서 보기

  1. 탐색 모음에서 감사  기밀 컴퓨팅을 선택합니다.

  2. 모든 증명의 목록이 기본 패널에 표시됩니다.

    attestation7 v2

  3. 확인할 보고서를 찾아 선택합니다.

4.1. 보고서 상태

증명 보고서의 상태는 다음 중 하나일 수 있습니다.

보류 중

예약된 증명의 기본 상태입니다. 프로세스가 아직 시작되거나 완료되지 않았기 때문에 보고서를 아직 사용할 수 없습니다.

성공

예약된 증명이 볼 수 있는 보고서를 생성하면 프로세스 상태는 성공입니다.

실패

예약된 증명이 실패하여 결과적으로 보고서가 생성되지 않으면 프로세스 상태는 실패입니다.

5. 관련 주제