Google CloudでSNP VMを使い始める
by Canonical on 19 October 2023
SEV-SNPとは、AMDのEPYCプロセッサで利用できる新しいセキュリティ機能です。SEV-SNPは、Secure Encrypted Virtualization Secure Nested Pages(暗号化された安全な仮想化-ネストされた安全なページ)の略語です。SEV-SNPはファームウェアのコードを含むメモリページを暗号化することによってファームウェアの保護レベルを高めます。この結果、攻撃者がファームウェアにアクセスして攻撃を開始することが困難になります。
SEV-SNPの利点
SEV-SNPを組み込んだファームウェアをVMで使用すると、VMのセキュリティの向上、分離の強化、パフォーマンスの向上が可能となります。
- セキュリティの向上。SEV-SNPはファームウェアのコードを含むメモリページを暗号化します。この結果、攻撃者がファームウェアにアクセスして攻撃を開始することが困難になります。
- 分離の強化。SEV-SNPは、各VM専用のセキュアなメモリ空間を作ります。このため、ハイパーバイザーが侵害を受けても、VMが別のVMのメモリにアクセスすることはできません。
- パフォーマンスの向上。SEV-SNPは仮想化アプリケーションのパフォーマンスを向上させます。SEV-SNPによりハイパーバイザーがセキュリティ処理の一部をプロセッサにオフロードできるからです。
SEV-SNPとコンフィデンシャルコンピューティングの関係
コンフィデンシャルコンピューティングとは、ハードウェアベースのTrusted Execution Environment(TEE:信頼できる実行環境)で使用中のデータを保護することです。TEEとは、使用中のアプリケーションとデータの不正アクセスや変更を防止する、安全な分離された環境です。このセキュリティ基準はConfidential Computing Consortiumによって定義されています。エンドツーエンドの暗号化は次の3つの状態から構成されます。
- 保存時の暗号化は、保存中のデータを保護します。
- 転送中の暗号化は、データが2つの地点の間を移動するときにデータを保護します。
- 使用中の暗号化は、処理中のデータを保護します。
コンフィデンシャルコンピューティングはエンドツーエンドの暗号化の最終部分、つまり使用中の暗号化を提供します。
SEV-SNPは、データ返信やメモリの再マッピングなどハイパーバイザーベースの攻撃に対する保護を強化します。これらの保護により、安全で分離された実行環境が確立され、全体的なセキュリティが強化されます。
さらにSEV-SNPには、さまざまなVMの使用モデルに対応するオプションのセキュリティ拡張機能があります。割り込み動作に関わる保護も強化し、最近発見されたサイドチャネル攻撃に対する防御力を高めています。
Google CloudでSEV-SNP VMを利用するには
Google Cloudコンソールで、「Compute Engine」と「Create a Instance(インスタンスを作成)」を選択します。必ず「N2D」マシン(AMD EPYC)を選択してください。
「Boot disk(ブートディスク)」で、Ubuntu 22.04 LTS Pro Server(x86 / 64、amd64 jammy pro server)などのSEV-SNP互換オペレーティングシステムを選択します。
「Confidential VM(コンフィデンシャルVM)」サービスを有効化します。
「CREATE(作成)」をクリックします。SEV-SNP VMをご活用ください!
ニュースレターのサインアップ
関連記事
Charmed PostgreSQLの一般提供を開始
信頼できる企業グレードのPostgreSQL Canonicalは本日、Charmed PostgreSQLのリリースを発表しました。Charmed PostgreSQLは、プライベートクラウドとパブリッククラウドにわたるPostgreSQLデータベースのデプロイ、メンテナンス、アップグレードの保護と自動化に役立つ企業向けソリューションです。 PostgreSQLは、オープンソースのデータベース管理システムです。30年以上にわたってあらゆるITセクターで使用され、成功を収めてきました。コミュニティの成熟度と活気により、開発者の間で常に第一候補のDBMSとなっています。 CanonicalのCharmed PostgreSQLは、この基盤を踏まえ、企業のあらゆるニーズに対応 […]
VMwareの料金にお困りのあなた: UbuntuでVMを便利に運用しよう
[ウェビナー] VMwareの料金にお困りのあなた:UbuntuでVMを便利に運用しよう 日時:2024年8月7日(水)15:00~16:00費用:無料お申し込み Ubuntuは世界中で高いシェアを持つLinuxディストリビューションです。近年では、CentOSの開発打ち切り(CentOS Streamへの移行)、RHELのソースコード公開ポリシーの変更、VMwareの料金体系の変更等に伴い、Ubuntuに乗り換える方も多く、日本国内でも注目度がますます高まっています。 本Webinarでは、NTTテクノクロス社で日頃からUbuntuに関わる業務に携わっている技術者がスピーカーとなり、Ubuntuが提供する様々なツールの紹介や、Ubuntuを商用利用する場合に重要となる脆 […]
Canonical社が提供する「Ubuntu Pro for Devices」に基づく新事業を展開 ~パートナーと連携した新しい事業を立ち上げ~
株式会社アイ・オー・データ機器(本社:石川県金沢市、代表取締役会長:細野 昭雄、以下、アイ・オー・データ)は、Canonical Group, Ltd.(本社:英国ロンドン、CEO:Mark Shuttleworth、以下:Canonical社)とLinux OS 「Ubuntu」のライセンス契約を合意し、Canonical社が提供する「Ubuntu Pro for Devices」プログラムに基づき、Ubuntuを活用した新事業や新商品を展開することを発表いたします。 ビジネス概要 アイ・オー・データはLinux OS 「Ubuntu」搭載デバイスをより広く、手軽に使っていただくため、Canonicalの「Ubuntu Pro for Devices」プログラムに基づい […]
