Ubuntu Pro for AzureにConfidential VMを導入する

by Canonical on 5 December 2023

近年のクラウドエコシステムでは、堅牢なセキュリティに向けた大きな進歩として、Confidential VM(CVM)が登場しました。CVMは外部のコードによる攻撃には強いものの、境界内の脆弱性によって侵害を受ける可能性は残ります。ここに、Ubuntu ProとMicrosoft Azure上のConfidential VMの相乗効果が力を発揮します。CVMで外堀を固め、Ubuntu Proで内部をしっかりと保護することで、強度、規制への適合性、管理しやすさを備えたクラウドベースのワークロード向けの領域が形成されます。この統合は、セキュリティを大幅に強化するだけでなく、企業の要件にスムーズに対応し、実運用環境で業務用のワークロードに対応したコンフィデンシャルコンピューティングを推進します。

Ubuntu Proの利点

Ubuntu Proは、実績あるUbuntu LTSを土台として、プロフェッショナルおよび実運用環境の厳しい要件を満たすエンタープライズグレードの機能が追加されています。主な利点は次のとおりです。

  • Extended Security MaintenanceESM):ソフトウェアパッケージのスタック全体の脆弱性を10年間にわたって管理します。
  • 包括的なパッチ適用:25,000以上のオープンソースパッケージにセキュリティパッチを適用し、チームが安全に使用できるパッケージを増やすとともに、平均的なCVEの影響を大幅に削減します。
  • カーネルLivepatch重大度が高または重大のカーネル脆弱性にパッチを適用し、ダウンタイムと計画外の再起動を抑えます。
  • コンプライアンスを自動化:CIS、DISA-STIG、FIPS 140などのコンプライアンスプロファイルに対応する強化ツールです。
  • 請求を合理化:既存のAzureアカウントを通じて時間単位で請求します。

詳細はUbuntu Pro for Azureのページをご覧ください。

Confidential VMCVM)を使用する利点

Confidential VMは、処理中にデータを暗号化することで、これまで難しかったデータ保護の問題に対処し、セキュリティを強化します。このテクノロジーにより、実行時、保存時、起動時に、データが確実に暗号化されます。主な機能は次のとおりです。

  • 実行時の保護:メモリ内のデータとコードを暗号化して、不正アクセスから保護します。
  • 保存データの暗号化:フルディスク暗号化機能により、保存されているすべてのデータを保護します。
  • 起動時の検証:ハードウェアにルートを持つ署名済み認証により、OS、ファームウェア、プラットフォームのブート測定値を検証します。

Ubuntu ProConfidential VMの組み合わせ

コンフィデンシャルコンピューティングでは、CVMが外部ソフトウェアの脅威からデータを保護するセキュリティモデルが導入されています。ただし、その境界内の脆弱性は解決されません。そこで威力を発揮するのがUbuntu Proです。Ubuntu Proは、CVMのソフトウェアスタックまたはゲストOS内の脆弱性に対処するためのセキュリティ対策を提供します。Ubuntu Proが提供する定期的なセキュリティパッチと更新によって、このようなリスクが軽減されます。CVMを内部の脆弱性から保護することの重要性については、こちらの解説をご覧ください。この統合により、企業運用に適した安全な環境が提供され、AMD SEV-SNPおよびIntel TDX(Azure限定プレビューの場合)の両方との互換性が確保されます。

デプロイ方法

Ubuntu Proを使用してConfidential VMを新たにデプロイするには、次のようにAzure CLIコマンドを使用します。

az vm create \
--resource-group "${RESOURCE_GROUP}" \
--name "${VM_NAME}" \
--size Standard_DC4as_v5 \
--enable-vtpm true \
--image "Canonical:0001-com-ubuntu-confidential-vm-focal:20_04-lts-cvm:latest" \
--security-type ConfidentialVM \
--os-disk-security-encryption-type VMGuestStateOnly \
--enable-secure-boot true \
--license-type UBUNTU_PRO
–license-type UBUNTU_PROフラグが、Ubuntu Proをデプロイするためのキーとなります。

インプレースアップグレード

既存のConfidential VMとUbuntu LTS VMは、いくつかのコマンドを使用してUbuntu Proにアップグレードできます。詳細はインプレースアップグレードの発表をご覧ください。

結び

Azure Confidential VMは、クラウドベースのワークロードに対して強化された保護レイヤーを提供します。ただし、包括的なセキュリティアプローチでは、内部から脆弱性に対処することも重要です。Ubuntu Proは、このような内部セキュリティのニーズを満たし、全体的なセキュリティフレームワークを改善します。Ubuntu ProとAzure Confidential VMの統合により、環境の安全性が強化され、確信を持ってコンフィデンシャルコンピューティングタスクを管理できます。

ニュースレターのサインアップ

Ubuntuニュースレターの配信登録

お客様が購読登録を行われる場合、以下の条件に同意されたことになります。Canonicalのプライバシーに関するお知らせ個人情報保護ポリシー

関連記事

VMwareからOpenStackへ

独自のオープンソースクラウドでTCOを40%削減 クラウドコンピューティングは、今では企業のIT資産の中心です。Gartner社によれば、2025年にはクラウドインフラストラクチャへの総投資が50%に迫ります。IT資産が成長し、複雑化するにつれ、総所有コスト(TCO)も増大し、企業にとってはインフラストラクチャの経費の最適化が継続的な問題となりました。 昔からプロプライエタリ(オープンソースではない)ソリューションを使用してきた企業にとっては特にそうです。プロプライエタリソリューションは、ライセンスコストが高いだけでなく、サービスの相互依存性や長期契約の義務によって企業を縛ることがよくあります(ロックイン)。これらの欠点から、BroadcomがVMwareを買収した後、さ […]

オンプレミスAI:知っておくべきこと

組織ではデジタル戦略の再構築が進行し、AIを中心に据えた多くのプロジェクトがいつでも実稼働できる状態にあります。企業は多くの場合、ハードウェアの負担を最小限に抑えるためにAIプロジェクトをパブリッククラウド上で開始します。しかし、規模の拡大につれて、コスト、デジタル主権、コンプライアンス要件などの理由から、ワークロードをオンプレミスに移行しようとすることがよくあります。自社のインフラストラクチャでのAI運用には明らかにメリットがあるものの、インフラストラクチャとMLOpsの担当者はいくつかの課題を検討する必要があります。 MLOpsは、AIのワークロードを反復可能かつ再現可能な形で実行する上で重要です。Charmed KubeflowなどのMLOpsプラットフォームは、K […]

MicroCephを使用したエッジストレージ

MicroCephならどこでも手軽にエッジストレージ データはあらゆる場所に存在します。大規模な集中型のデータセンターだけでなく、小売店、リモートオフィスや支店、撮影現場のような出先、そして自動車の中にも。エッジストレージの目的は、ローカル処理、ネットワークの遅い場所では不可能なコンテンツでの共同作業、そして取り込み(ローカルで作成されたコンテンツをキャプチャして保護し、他のシステムで利用できるようにすること)です。 すべてのシナリオには2つの共通点があります。生成されるデータが重要で、その場所の帯域幅が限られていることです。 従来、このような場合にはシングルボードコンピューターを使用していましたが、時代の変化とともにデータの重要性が高まり、性能の向上と冗長性が求められる […]


© 2024 Canonical Ltd. Ubuntu および Canonical は、Canonical Ltd の登録商標です。