Dela via

Säkerhetskonfiguration för virtuell dator

  • Artikel

CycleCloud 8.5 har stöd för att skapa virtuella datorer med en säkerhetstyp som antingen är betrodd start eller konfidentiell.

Anteckning

Användningen av dessa funktioner kan komma med vissa begränsningar, som att inte stödja säkerhetskopiering, hanterade diskar och tillfälliga OS-diskar. Dessutom kräver de specifika avbildningar och VM-storlekar. Mer information finns i dokumentationen ovan.

Dessa funktioner kan ändras i klusterformuläret eller anges direkt i klustermallen.

Det primära attributet som aktiverar detta är SecurityType, som kan vara TrustedLaunch eller ConfidentialVM. Om du till exempel vill att alla virtuella datorer i klustret ska använda Betrodd start som standard lägger du till detta i mallen:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

Standardsäkerhet är standard så att den inte behöver anges. Om du har angett ett värde för SecurityType och importerat klustret kan du bara kommentera ut eller ta bort raden och importera klustret igen för att ta bort värdet. Om du anger ett värde på defaults och vill använda standardsäkerhet bara för en viss nod kan du åsidosätta värdet med undefined() (observera användningen av := för att aktivera strikt parsning av värdet):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

Användningen av antingen betrodd start eller konfidentiella virtuella datorer möjliggör andra säkerhetsfunktioner, som båda är sanna som standard:

  • EnableSecureBoot=true: Använder Säker start, som hjälper dig att skydda dina virtuella datorer mot startpaket, rootkits och skadlig kod på kernelnivå.

  • EnableVTPM=true: Använder virtual trusted platform module (vTPM), som är TPM2.0-kompatibel och validerar din vm-startintegritet förutom att lagra nycklar och hemligheter på ett säkert sätt.

Anteckning

Dessa attribut har ingen effekt med standardsäkerhetstypen Standard.

Dessutom aktiverar konfidentiella virtuella datorer ett nytt diskkrypteringsschema. Det här schemat skyddar alla kritiska partitioner på disken och gör det skyddade diskinnehållet endast tillgängligt för den virtuella datorn. Precis som Server-Side kryptering är standardvärdet Plattformshanterade nycklar , men du kan använda kundhanterade nycklar i stället. Användning av Customer-Managed nycklar för konfidentiell kryptering kräver en diskkrypteringsuppsättning vars krypteringstyp är ConfidentialVmEncryptedWithCustomerKey. Mer information finns i Diskkryptering .