Compartir a través de

Configuración de seguridad de máquina virtual

  • Artículo

CycleCloud 8.5 admite la creación de máquinas virtuales con un tipo de seguridad de Inicio seguro o Confidencial.

Nota

El uso de estas características puede tener algunas limitaciones, lo que incluye no admitir copias de seguridad, discos administrados y discos del sistema operativo efímeros. Además, requieren imágenes específicas y tamaños de máquina virtual. Consulte la documentación anterior para obtener más información.

Estas características se pueden modificar en el formulario de clúster o establecerse directamente en la plantilla de clúster.

El atributo principal que habilita esto es SecurityType, que puede ser TrustedLaunch o ConfidentialVM. Por ejemplo, para que todas las máquinas virtuales del clúster usen inicio seguro de forma predeterminada, agréguela a la plantilla:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

La seguridad estándar es la predeterminada, por lo que no es necesario especificarla. Si ha proporcionado un valor para SecurityType y ha importado el clúster, simplemente puede comentar o quitar esa línea y volver a importar el clúster para quitar el valor. Si establece un valor en defaults y desea usar la seguridad estándar solo para algún nodo específico, puede invalidar el valor con undefined() (tenga en cuenta el uso de := para habilitar el análisis estricto del valor):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

El uso de las máquinas virtuales de inicio seguro o confidencial permite otras características de seguridad, que tienen como valor predeterminado true:

  • EnableSecureBoot=true: usa el arranque seguro, que ayuda a proteger las máquinas virtuales frente a kits de arranque, rootkits y malware de nivel de kernel.

  • EnableVTPM=true: usa el módulo de plataforma segura virtual (vTPM), que es compatible con TPM2.0 y valida la integridad de arranque de la máquina virtual, además de almacenar de forma segura las claves y los secretos.

Nota

Estos atributos no tienen ningún efecto con el tipo de seguridad Estándar predeterminado.

Además, las máquinas virtuales confidenciales habilitan un nuevo esquema de cifrado de disco. Este esquema protege todas las particiones críticas del disco y hace que el contenido del disco protegido solo sea accesible para la máquina virtual. De forma similar a Server-Side Cifrado, el valor predeterminado es Claves administradas por la plataforma , pero en su lugar puede usar claves administradas por el cliente . El uso de claves de Customer-Managed para el cifrado confidencial requiere un conjunto de cifrado de disco cuyo tipo de cifrado sea .ConfidentialVmEncryptedWithCustomerKey Consulte Disk Encryption para obtener más información.