コンフィデンシャル、一般提供、オープンソースとは? それがMicrosoft Azure対応Canonical Ubuntu 22.04!
by Canonical on 10 February 2023
Canonicalの全チームを代表し、Microsoft AzureでUbuntu 22.04 Confidential VM(CVM)の一般提供を発表いたします!今回のCVMは、第3世代のAMD CPUに追加されたセキュリティ拡張機能Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)に対応するMicrosoft Azure DCasv5/ECasv5シリーズの一環です。
したがってUbuntu 22.04 CVMは、クラウドの特権システムソフトウェア(ハイパーバイザ、ホストOS、ファームウェア)を侵害しかねない強力な敵、あるいはVMに不正にアクセスできる悪質な、または侵害を受けたクラウドプロバイダー管理者からもパブリッククラウドのワークロードを守ります。
コンフィデンシャルコンピューティングとは、複数の関係者の協力を必要とする業界全体の取り組みです。ハードウェア側では、すでにシリコンプロバイダーがかなりのリソースをTrusted Execution Environment(TEE)の開発に投入しています。そのようなTEEを積極的に採用しているのがパブリッククラウドプロバイダー(PCP)です。PCPは、コンフィデンシャルワークロードをユーザーが簡単に実行できるよう、VM全体をそのままTEE内で実行する「シフト&リフト」への対応に力を注いでいます。これなら、開発者がコンフィデンシャルアプリのリファクタリングや書き直しをする必要はありません。ただし、ゲストオペレーティングシステムを最適化することで、ユーザーアプリがプラットフォームのハードウェアTEE機能を利用し、起動中や休止中のVMもしっかり保護するようにする必要があります。
ここ数カ月間、Canonical Ubuntuが取り組んでいるのがそれです。Microsoft Azureとの緊密な協力のおかげで、このたびAzureのUbuntu 22.04 CVMを使ってコンフィデンシャルパブリッククラウドワークロードを構築していただけるようになりました。
Ubuntu CVMの仕組み
Ubuntu CVMは、VMのライフサイクル全体にわたってセキュリティを確保することで強力なセキュリティ保証を実現します。
- 実行中:AMD SEV-SNPにより、ユーザーのVMのコードとデータはシステムメモリ内で処理される際に暗号化されます。暗号化には、CPUのメモリコントローラに組み込まれた最新のAES-128ハードウェア暗号化エンジンが利用されます。暗号化キーはAMDセキュアプロセッサーによってさらに保護され、管理されます。
- 休止中:ワークロード全体が、Ubuntuに強化されたフルディスク暗号化機能で暗号化されます。暗号化キー自体もVMの仮想ディスクに暗号化されて保存されます。それがインスタンスに紐付けられた仮想TPM(vTPM)にバインドされます。最後に、vTPM自体がゲストVMのアドレス空間の一部であり、AMD SEV-SNP拡張がVMインスタンス全体に提供するのと同じ実行中セキュリティ保証によって守られます。
- 起動中:VMを起動する前、プラットフォームは、OS、ファームウェア、プラットフォームのブート測定値の検証に使用可能なハードウェアにルートを持つ署名付き証明書を提供します。
今後の展望
ユーザーはUbuntu 22.04 CVMにより、多層防御アーキテクチャをさらに厚くし、Azureワークロードの攻撃対象領域を縮小することになります。Ubuntuはこれに関連する複雑なタスクを処理し、スムーズに新しいレベルのセキュリティを実現します。
すでにパブリッククラウドをお使いなら、コンフィデンシャルVMとしてVMを実行することにはメリットしかありません。セキュリティが心配でパブリッククラウドを使っていないのであれば、コンフィデンシャルコンピューティングの進歩によってリスク評価を再検討し、組織に最適な結論に達することができるでしょう。
Canonicalでは、コンフィデンシャルコンピューティングと個人情報を保護する技術こそ、未来のコンピューティングのデフォルトになると考えています。だからこそCanonical UbuntuのコンフィデンシャルVMは無償なのです。Azureでは、お使いのUbuntu CVMにいつでもCanonicalのUbuntu Proサービスを追加できます。これには10年間の長期セキュリティメンテナンス、イメージの認証と堅牢化、カーネルライブパッチ機能が含まれます。
Canonical Ubuntuのコンフィデンシャルコンピューティングはまだ始まったばかり!これからもCanonicalのポートフォリオ拡張に関する今後の発表にご期待ください。
その他のリソース
ニュースレターのサインアップ
関連記事
Firefighting Supportを発表
新しいサービスでCanonicalの専門家が高度なクラウドサポートを提供 Canonicalのマネージドソリューションチームは、自社でインフラストラクチャの管理を行い、トラブルシューティングの必要があるときのみ専門家の対応を求める組織のために、新しいサービス「Firefighting Support」を発表しました。 Firefighting Supportでは、フルマネージドサービスを止めた、または厳しいセキュリティ規制によってサードパーティーに環境へのアクセスを許可できないお客様に対して、マネージドサービスレベルのサポートを提供します。このサービスはノードごとの年間料金で提供され、次のような内容です。 自己管理インフラストラクチャへの移行に理想的 現在の市場では、マネ […]
Charmed PostgreSQLの一般提供を開始
信頼できる企業グレードのPostgreSQL Canonicalは本日、Charmed PostgreSQLのリリースを発表しました。Charmed PostgreSQLは、プライベートクラウドとパブリッククラウドにわたるPostgreSQLデータベースのデプロイ、メンテナンス、アップグレードの保護と自動化に役立つ企業向けソリューションです。 PostgreSQLは、オープンソースのデータベース管理システムです。30年以上にわたってあらゆるITセクターで使用され、成功を収めてきました。コミュニティの成熟度と活気により、開発者の間で常に第一候補のDBMSとなっています。 CanonicalのCharmed PostgreSQLは、この基盤を踏まえ、企業のあらゆるニーズに対応 […]
Linuxにセキュリティパッチを適用する頻度は?
セキュアな環境を維持するには定期的なパッチの適用が不可欠ですが、Linux環境を安全に保つための方法は環境によって異なります。運用の安定性を考えて、どのぐらいの更新頻度が妥当でしょうか? 最も制限が多く、規制が厳しい環境でも、準拠が保証され安全な方法で、セキュリティパッチの適用を自動化できる方針が存在します。セキュリティパッチの適用方針を定義するときは、Canonicalでのソフトウェア更新のリリーススケジュールを理解し、セキュリティパッチの適用の時間枠を知っておくことが不可欠です。私は最近、ライブのウェビナーとセキュリティの質疑応答を主催し、パッチ適用の回数を最小化するとともに、パッチが適用されていない脆弱性が悪用される回数も最小化する方法について解説しました。この記事 […]
