Configurazione della sicurezza delle macchine virtuali

  • Articolo

CycleCloud 8.5 supporta la creazione di macchine virtuali con un tipo di sicurezza di avvio attendibile o riservato.

Nota

L'uso di queste funzionalità può comportare alcune limitazioni, che includono non supportano il backup, i dischi gestiti e i dischi del sistema operativo temporanei. Inoltre, richiedono immagini e dimensioni di macchina virtuale specifiche. Per altre informazioni, vedere la documentazione precedente.

Queste funzionalità possono essere modificate nel modulo del cluster o impostate direttamente nel modello di cluster.

Attributo primario che abilita questa opzione è SecurityType, che può essere TrustedLaunch o ConfidentialVM. Ad esempio, per rendere ogni macchina virtuale nel cluster usare l'avvio attendibile per impostazione predefinita, aggiungere questo al modello:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

La sicurezza standard è l'impostazione predefinita in modo che non sia necessario specificare. Se è stato assegnato un valore per SecurityType e importato il cluster, è sufficiente aggiungere commenti o rimuovere tale riga e riimportare il cluster per rimuovere il valore. Se si imposta un valore su defaults e si vuole usare la sicurezza Standard solo per un nodo specifico, è possibile eseguire l'override del valore con undefined() (si noti l'uso di := per abilitare l'analisi rigorosa del valore):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

L'uso di macchine virtuali attendibili o di avvio attendibile abilita altre funzionalità di sicurezza, entrambe predefinite su true:

  • EnableSecureBoot=true: usa l'avvio sicuro, che consente di proteggere le macchine virtuali da kit di avvio, rootkit e malware a livello di kernel.

  • EnableVTPM=true: usa virtual Trusted Platform Module (vTPM), che è conforme a TPM2.0 e convalida l'integrità dell'avvio della macchina virtuale oltre a archiviare in modo sicuro chiavi e segreti.

Nota

Questi attributi non hanno alcun effetto con il tipo di sicurezza Standard predefinito.

Inoltre, le macchine virtuali riservate abilitano un nuovo schema di crittografia del disco. Questo schema protegge tutte le partizioni critiche del disco e rende il contenuto del disco protetto accessibile solo alla macchina virtuale. Analogamente alla crittografia Server-Side, il valore predefinito è Chiavi gestite dalla piattaforma , ma è possibile usare invece chiavi gestite dal cliente . L'uso di chiavi di Customer-Managed per la crittografia riservata richiede un set di crittografia dischi il cui tipo di crittografia è ConfidentialVmEncryptedWithCustomerKey. Per altre informazioni, vedere Crittografia dischi .