Konfiguracja zabezpieczeń maszyny wirtualnej

  • Artykuł

Usługa CycleCloud 8.5 obsługuje tworzenie maszyn wirtualnych z typem zabezpieczeń zaufanego uruchamiania lub poufnego.

Uwaga

Korzystanie z tych funkcji może mieć pewne ograniczenia, które obejmują brak obsługi kopii zapasowej, dysków zarządzanych i efemerycznych dysków systemu operacyjnego. Ponadto wymagają określonych obrazów i rozmiarów maszyn wirtualnych. Więcej informacji można znaleźć w powyższej dokumentacji.

Te funkcje można modyfikować w formularzu klastra lub ustawiać bezpośrednio w szablonie klastra.

Atrybutem podstawowym, który umożliwia to, jest SecurityType, który może być TrustedLaunch lub ConfidentialVM. Na przykład aby każda maszyna wirtualna w klastrze domyślnie korzystała z zaufanego uruchamiania, dodaj ją do szablonu:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

Standardowe zabezpieczenia są wartością domyślną, więc nie trzeba jej określać. Jeśli nadano wartość SecurityType i zaimportował klaster, możesz po prostu oznaczyć komentarz lub usunąć ten wiersz i ponownie zaimportować klaster, aby usunąć wartość. Jeśli ustawisz wartość i defaults chcesz użyć zabezpieczeń w warstwie Standardowa tylko dla określonego węzła, możesz zastąpić wartość wartością undefined() (zwróć uwagę na użycie := polecenia , aby włączyć ścisłe analizowanie wartości):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

Użycie zaufanych uruchomień lub poufnych maszyn wirtualnych umożliwia korzystanie z innych funkcji zabezpieczeń, które są domyślnie prawdziwe:

  • EnableSecureBoot=true: używa bezpiecznego rozruchu, który pomaga chronić maszyny wirtualne przed zestawami rozruchowymi, rootkitami i złośliwym oprogramowaniem na poziomie jądra.

  • EnableVTPM=true: używa wirtualnego modułu zaufanej platformy (vTPM), który jest zgodny z modułem TPM2.0 i weryfikuje integralność rozruchu maszyny wirtualnej poza bezpiecznym przechowywaniem kluczy i wpisów tajnych.

Uwaga

Te atrybuty nie mają wpływu na domyślny typ zabezpieczeń w warstwie Standardowa.

Ponadto poufne maszyny wirtualne umożliwiają nowy schemat szyfrowania dysków. Ten schemat chroni wszystkie krytyczne partycje dysku i sprawia, że chroniona zawartość dysku jest dostępna tylko dla maszyny wirtualnej. Podobnie jak w przypadku szyfrowania Server-Side wartość domyślna to Klucze zarządzane przez platformę , ale zamiast tego można użyć kluczy zarządzanych przez klienta . Użycie kluczy Customer-Managed do szyfrowania poufnego wymaga zestawu szyfrowania dysków , którego typem szyfrowania jest ConfidentialVmEncryptedWithCustomerKey. Aby uzyskać więcej informacji, zobacz Szyfrowanie dysków .