机密计算

借助Confidential Computing技术,可以使用基于硬件的可信执行环境 (TEE) 来保护使用中的数据,这种环境提供更高的安全级别来确保数据完整性、数据机密性和代码完整性。

1. SUSE Manager 的Confidential Computing

TEE 的可信度已通过认证流程进行检查。SUSE Manager 可用作其中已注册系统的认证服务器。它会针对此模式下运行的系统生成报告页面。需要定期对这些系统进行认证和检查。还可以存储并按请求提供以往的检查历史记录。

Confidential Computing认证取决于所用的硬件以及要认证的系统运行所在的环境。

Confidential Computing认证仅适用于 x86_64 体系结构。

2. 要求

可以在具有以下特征的环境中设置Confidential Computing:

  • 要认证的系统(虚拟机)为 SLES15 SP6 并且已引导至 SUSE Manager

  • 硬件必须搭载 AMD EPYC Milan CPUAMD EPYC Genoa CPU

  • 必须将 BIOS 配置为允许Confidential Computing认证

  • 主机操作系统和虚拟化软件(KVM 和 libvirt)必须支持Confidential Computing。

3. 限制

  • SLES15 SP6 以技术预览的形式提供Confidential Computing认证。

  • SUSE Manager 以技术预览的形式提供Confidential Computing认证。

  • 安全引导已经认证。但是,KVM 安全引导和 SNP Guest 目前无法一起运行。

4. 使用 SUSE Manager 中的Confidential Computing

有关在主机上设置和配置Confidential Computing的具体步骤,请参见操作系统供应商文档。

过程:在安装 SUSE Manager 期间启用认证容器
  1. 在使用 mgradm install podman 安装 SUSE Manager 期间启用认证容器。

  2. 将以下内容添加到 mgradm.yaml 文件中。

    coco:
        replicas: 1
过程:在安装 SUSE Manager 之后启用认证容器
  1. 要在安装后启用认证容器,请使用命令行参数 mgradm

  2. 运行命令

    mgradm scale --coco-replicas 1
过程:在安装 SUSE Manager 之后启用认证容器
  1. 要禁用已启用的认证容器,请运行以下命令:

    mgradm scale --coco-replicas 0
过程:启用认证
  1. 对于选定的系统,转到选项卡审计  机密计算  设置

  2. 通过选择切换按钮来启用认证。

  3. 在字段环境类型中,从下拉列表中选择正确的选项。

  4. 单击 保存 按钮保存更改。

    attestation1 v2
过程:安排新认证
  1. 对于选定的系统,转到选项卡审计  机密计算  列出认证

  2. 单击 安排认证。此时会打开新窗体。

  3. 在字段最早中选择运行认证的时间。

  4. 如果需要,可以通过选择添加到选项将新建的认证添加到操作链中。

  5. 单击 日程安排 保存新认证并安排其执行。

    attestation2 v2
  6. 对于选定的系统,转到选项卡审计  机密计算  列出认证

  7. 查找并选择要查看的报告。

    attestation3 v2
  8. 单击所选的认证报告后,概览选项卡即会打开。

    attestation4 v2
  9. 转到下一个选项卡 SEV-SNP

    attestation5 v2
  10. 最后,转到下一个选项卡安全引导

    attestation6 v2
过程:从“审计”界面查看认证报告
  1. 从导航栏中选择审计  机密计算

  2. 所有认证的列表将显示在主面板中。

    attestation7 v2
  3. 查找并选择要查看的报告。

4.1. 报告状态

认证报告处于下列状态之一:

待处理

这是已安排的认证的默认状态。报告仍不可用,原因是认证过程尚未开始或完成。

成功

当安排的认证创建可查看的报告时,过程状态将变为成功

失败

当安排的认证失败并且因此未创建报告时,过程状态将变为失败

5. 相关主题