仮想マシンのセキュリティ構成

CycleCloud 8.5 では、セキュリティの種類が [信頼された起動 ] または [ 社外秘] の VM の作成がサポートされています。

注意

これらの機能の使用には、バックアップ、マネージド ディスク、エフェメラル OS ディスクのサポートが含まれていないなど、いくつかの制限が伴う場合があります。 さらに、特定のイメージと VM サイズが必要です。 詳細については、上記のドキュメントを参照してください。

これらの機能は、 クラスター 形式 で変更することも、 クラスター テンプレートで直接設定することもできます。

これを有効にする主な属性は、 SecurityTypeまたは ConfidentialVMですTrustedLaunch。 たとえば、クラスター内のすべての VM で既定でトラステッド起動を使用するには、これをテンプレートに追加します。

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

標準 セキュリティが既定値であるため、指定する必要はありません。 クラスターの値 SecurityType を指定してインポートした場合は、その行をコメントアウトまたは削除し、クラスターを再インポートして値を削除できます。 に defaults 値を設定し、特定のノードに対して Standard セキュリティのみを使用する場合は、 で値 undefined() をオーバーライドできます (値の := 厳密な解析を有効にするには、 の使用に注意してください)。

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

信頼された起動または機密 VM のいずれかを使用すると、他のセキュリティ機能が有効になり、両方とも既定値は true になります。

• EnableSecureBoot=true: セキュア ブートを使用します。これは、ブート キット、ルートキット、カーネル レベルのマルウェアから VM を保護するのに役立ちます。

• EnableVTPM=true: TPM2.0 準拠の 仮想トラステッド プラットフォーム モジュール (vTPM) を使用し、キーとシークレットを安全に格納する以外に VM のブート整合性を検証します。

注意

これらの属性は、既定の Standard セキュリティの種類には影響しません。

さらに、機密 VM では、新しい ディスク暗号化スキームが有効になります。 このスキームは、ディスクのすべての重要なパーティションを保護し、保護されたディスク コンテンツに VM のみがアクセスできるようにします。 Server-Side 暗号化と同様に、既定値は プラットフォームマネージド キー ですが、代わりに カスタマー マネージド キー を使用できます。 機密暗号化に Customer-Managed キーを使用するには、暗号化の種類が である ディスク暗号化セット が必要です ConfidentialVmEncryptedWithCustomerKey。 詳細については、「 ディスク暗号化 」を参照してください。