Конфигурация безопасности виртуальной машины

  • Статья

CycleCloud 8.5 поддерживает создание виртуальных машин с типом безопасности "Доверенный запуск" или "Конфиденциально".

Примечание

Использование этих функций может включать некоторые ограничения, которые включают отсутствие поддержки резервного копирования, управляемых дисков и временных дисков ОС. Кроме того, для них требуются определенные образы и размеры виртуальных машин. Дополнительные сведения см. в документации выше.

Эти функции можно изменить в форме кластера или задать непосредственно в шаблоне кластера.

Основным атрибутом, который включает это, является SecurityType, который может иметь значение TrustedLaunch или ConfidentialVM. Например, чтобы каждая виртуальная машина в кластере по умолчанию использовала доверенный запуск, добавьте в шаблон следующее:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

Стандартная безопасность используется по умолчанию, поэтому ее не нужно указывать. Если вы указали значение для SecurityType и импортировали кластер, можно просто закомментировать или удалить эту строку и повторно импортировать кластер, чтобы удалить значение. Если вы задали значение defaults в и хотите использовать стандартную безопасность только для определенного узла, можно переопределить значение с undefined() помощью (обратите внимание на использование для включения строгого := анализа значения):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

Использование доверенных или конфиденциальных виртуальных машин включает другие функции безопасности, которые по умолчанию соответствуют значению true.

  • EnableSecureBoot=true: использует безопасную загрузку, которая помогает защитить виртуальные машины от загрузочных пакетов, rootkit и вредоносных программ на уровне ядра.

  • EnableVTPM=true: использует виртуальный доверенный платформенный модуль (vTPM), который соответствует TPM2.0 и проверяет целостность загрузки виртуальной машины, помимо безопасного хранения ключей и секретов.

Примечание

Эти атрибуты не влияют на стандартный тип безопасности по умолчанию.

Кроме того, конфиденциальные виртуальные машины обеспечивают новую схему шифрования дисков. Эта схема защищает все критически важные разделы диска и делает содержимое защищенного диска доступным только для виртуальной машины. Аналогично шифрованию Server-Side, по умолчанию используются ключи, управляемые платформой , но вместо этого можно использовать ключи, управляемые клиентом . Для использования ключей Customer-Managed для конфиденциального шифрования требуется набор шифрования дисков , тип шифрования которого равен ConfidentialVmEncryptedWithCustomerKey. Дополнительные сведения см. в разделе Шифрование дисков .