Delen via

Beveiligingsconfiguratie van virtuele machine

  • Artikel

CycleCloud 8.5 ondersteunt het maken van VM's met het beveiligingstype Vertrouwd starten of Vertrouwelijk.

Notitie

Het gebruik van deze functies kan enkele beperkingen met zich meebrengen, waaronder het niet ondersteunen van back-ups, beheerde schijven en tijdelijke besturingssysteemschijven. Daarnaast zijn specifieke installatiekopieën en VM-grootten vereist. Zie de bovenstaande documentatie voor meer informatie.

Deze functies kunnen worden gewijzigd in het clusterformulier of rechtstreeks op de clustersjabloon worden ingesteld.

Het primaire kenmerk dat dit mogelijk maakt, is SecurityType, dat of ConfidentialVMkan zijnTrustedLaunch. Als u bijvoorbeeld elke VM in het cluster standaard vertrouwd starten wilt laten gebruiken, voegt u dit toe aan uw sjabloon:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

Standaardbeveiliging is de standaardinstelling, zodat deze niet hoeft te worden opgegeven. Als u een waarde voor SecurityType het cluster hebt opgegeven en uw cluster hebt geïmporteerd, kunt u gewoon een opmerking plaatsen of deze regel verwijderen en het cluster opnieuw importeren om de waarde te verwijderen. Als u een waarde instelt op en standaardbeveiliging alleen voor een specifiek knooppunt wilt gebruiken, kunt u de waarde overschrijven met undefined() (let op defaults het gebruik van := om strikte parsering van de waarde in te schakelen):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

Het gebruik van vertrouwde start- of vertrouwelijke VM's maakt andere beveiligingsfuncties mogelijk, waarbij beide standaard ingesteld zijn op true:

  • EnableSecureBoot=true: Maakt gebruik van Beveiligd opstarten, waarmee uw VM's worden beschermd tegen opstartkits, rootkits en malware op kernelniveau.

  • EnableVTPM=true: maakt gebruik van Virtual Trusted Platform Module (vTPM), dat compatibel is met TPM2.0 en valideert de opstartintegriteit van uw VM, afgezien van het veilig opslaan van sleutels en geheimen.

Notitie

Deze kenmerken hebben geen effect op het standaardbeveiligingstype Standard.

Bovendien maken vertrouwelijke VM's een nieuw schijfversleutelingsschema mogelijk. Dit schema beveiligt alle kritieke partities van de schijf en maakt de inhoud van de beveiligde schijf alleen toegankelijk voor de virtuele machine. Net als bij Server-Side Encryption is de standaardwaarde Platform-Managed Keys , maar u kunt in plaats daarvan door de klant beheerde sleutels gebruiken. Voor het gebruik van Customer-Managed sleutels voor vertrouwelijke versleuteling is een schijfversleutelingsset vereist waarvan het versleutelingstype is ConfidentialVmEncryptedWithCustomerKey. Zie Schijfversleuteling voor meer informatie.