Bagikan melalui

Konfigurasi Keamanan Komputer Virtual

  • Artikel

CycleCloud 8.5 mendukung pembuatan VM dengan jenis keamanan Peluncuran Tepercaya atau Rahasia.

Catatan

Penggunaan fitur-fitur ini mungkin datang dengan beberapa batasan, yang mencakup tidak mendukung pencadangan, disk terkelola, dan disk OS ephemeral. Selain itu, mereka memerlukan gambar dan ukuran VM tertentu. Lihat dokumentasi di atas untuk informasi selengkapnya.

Fitur-fitur ini dapat dimodifikasi dalam bentuk kluster atau diatur langsung pada templat kluster.

Atribut utama yang memungkinkan ini adalah SecurityType, yang dapat berupa TrustedLaunch atau ConfidentialVM. Misalnya, untuk membuat setiap VM dalam kluster menggunakan Peluncuran Tepercaya secara default, tambahkan ini ke templat Anda:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

Keamanan standar adalah default sehingga tidak perlu ditentukan. Jika Anda telah memberikan nilai untuk SecurityType dan mengimpor kluster, Anda cukup mengomentari atau menghapus baris tersebut dan mengimpor ulang kluster untuk menghapus nilai. Jika Anda menetapkan nilai dan defaults ingin menggunakan keamanan Standar hanya untuk beberapa simpul tertentu, Anda dapat mengganti nilai dengan undefined() (perhatikan penggunaan := untuk mengaktifkan penguraian nilai yang ketat):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

Penggunaan VM Peluncuran Tepercaya atau Rahasia memungkinkan fitur keamanan lainnya, keduanya default ke true:

  • EnableSecureBoot=true: Menggunakan Boot Aman, yang membantu melindungi VM Anda dari kit boot, rootkit, dan malware tingkat kernel.

  • EnableVTPM=true: Menggunakan Modul Platform Tepercaya Virtual (vTPM), yang mematuhi TPM2.0 dan memvalidasi integritas boot VM Anda selain menyimpan kunci dan rahasia dengan aman.

Catatan

Atribut ini tidak berpengaruh dengan jenis keamanan Standar default.

Selain itu, VM Rahasia mengaktifkan skema enkripsi disk baru. Skema ini melindungi semua partisi penting disk dan membuat konten disk yang dilindungi hanya dapat diakses oleh VM. Mirip dengan enkripsi Server-Side, defaultnya adalah Kunci yang Dikelola Platform tetapi Anda dapat menggunakan Kunci yang Dikelola Pelanggan sebagai gantinya. Penggunaan Kunci Customer-Managed untuk Enkripsi rahasia memerlukan Set Enkripsi Disk yang jenis enkripsinya adalah ConfidentialVmEncryptedWithCustomerKey. Lihat Enkripsi Disk untuk informasi selengkapnya.