Google CloudでSNP VMを使い始める
by Canonical on 19 October 2023
SEV-SNPとは、AMDのEPYCプロセッサで利用できる新しいセキュリティ機能です。SEV-SNPは、Secure Encrypted Virtualization Secure Nested Pages(暗号化された安全な仮想化-ネストされた安全なページ)の略語です。SEV-SNPはファームウェアのコードを含むメモリページを暗号化することによってファームウェアの保護レベルを高めます。この結果、攻撃者がファームウェアにアクセスして攻撃を開始することが困難になります。
SEV-SNPの利点
SEV-SNPを組み込んだファームウェアをVMで使用すると、VMのセキュリティの向上、分離の強化、パフォーマンスの向上が可能となります。
- セキュリティの向上。SEV-SNPはファームウェアのコードを含むメモリページを暗号化します。この結果、攻撃者がファームウェアにアクセスして攻撃を開始することが困難になります。
- 分離の強化。SEV-SNPは、各VM専用のセキュアなメモリ空間を作ります。このため、ハイパーバイザーが侵害を受けても、VMが別のVMのメモリにアクセスすることはできません。
- パフォーマンスの向上。SEV-SNPは仮想化アプリケーションのパフォーマンスを向上させます。SEV-SNPによりハイパーバイザーがセキュリティ処理の一部をプロセッサにオフロードできるからです。
SEV-SNPとコンフィデンシャルコンピューティングの関係
コンフィデンシャルコンピューティングとは、ハードウェアベースのTrusted Execution Environment(TEE:信頼できる実行環境)で使用中のデータを保護することです。TEEとは、使用中のアプリケーションとデータの不正アクセスや変更を防止する、安全な分離された環境です。このセキュリティ基準はConfidential Computing Consortiumによって定義されています。エンドツーエンドの暗号化は次の3つの状態から構成されます。
- 保存時の暗号化は、保存中のデータを保護します。
- 転送中の暗号化は、データが2つの地点の間を移動するときにデータを保護します。
- 使用中の暗号化は、処理中のデータを保護します。
コンフィデンシャルコンピューティングはエンドツーエンドの暗号化の最終部分、つまり使用中の暗号化を提供します。
SEV-SNPは、データ返信やメモリの再マッピングなどハイパーバイザーベースの攻撃に対する保護を強化します。これらの保護により、安全で分離された実行環境が確立され、全体的なセキュリティが強化されます。
さらにSEV-SNPには、さまざまなVMの使用モデルに対応するオプションのセキュリティ拡張機能があります。割り込み動作に関わる保護も強化し、最近発見されたサイドチャネル攻撃に対する防御力を高めています。
Google CloudでSEV-SNP VMを利用するには
Google Cloudコンソールで、「Compute Engine」と「Create a Instance(インスタンスを作成)」を選択します。必ず「N2D」マシン(AMD EPYC)を選択してください。
「Boot disk(ブートディスク)」で、Ubuntu 22.04 LTS Pro Server(x86 / 64、amd64 jammy pro server)などのSEV-SNP互換オペレーティングシステムを選択します。
「Confidential VM(コンフィデンシャルVM)」サービスを有効化します。
「CREATE(作成)」をクリックします。SEV-SNP VMをご活用ください!
ニュースレターのサインアップ
関連記事
Japan IT Week 2025 にCanonicalが出展!
最新のAIoT & セキュリティソリューションを体験しよう 日本最大級のIT展示会 Japan IT Week が、2025年4月23日(水)~25日(金)に東京ビッグサイトで開催されます。Canonicalは、今年も IoT & Edge Computing Expo に出展し、最新の AIoT および セキュリティソリューション をご紹介します。 イベント情報 開催日時: 2025年4月23日(水)~25日(金)会場: 東京ビッグサイトCanonicalブース: 26-14 | IoT・エッジコンピューティング EXPO来場登録: こちらから事前登録ライブデモ事前予約: 事前予約 Canonicalブースの見どころ Canonicalブースでは、以下の最新ソリューショ […]
自動パッチ適用とは
自動パッチ適用とは システムの脆弱性が増えるにつれ、サイバーインシデント、攻撃、侵害のリスクが増大しています。システムを24時間保護することが、これまでになく重要な時代になりました。 パッチ適用は、あらゆる脆弱性管理に必須の作業です。このブログ記事では、パッチ管理について概説し、手動と自動でのパッチ管理を比較します。また、自動パッチ管理の使用事例や利点を説明し、自動パッチ管理の戦略を立てる明確な手順を定義します。 パッチ管理とは ソフトウェアに関して言えば、パッチとはプログラミングの問題、欠陥、脆弱性を修正するための更新ファイルです。ソフトウェアが円滑かつ安全に実行されるよう、セキュリティ上の脆弱性、バグ、パフォーマンス上の問題に対処します。 パッチ管理とは、対象のソフト […]
Canonicalが12年間のKubernetes LTSを発表
CanonicalのKubernetes LTS(長期サポート)はFedRAMPのコンプライアンスに対応し、ベアメタル、パブリッククラウド、OpenStack、Canonical MicroCloud、VMwareで最小12年のセキュリティメンテナンスおよびエンタープライズサポートが保証されます。 2025年2月 – Canonicalは本日、Kubernetes 1.32以降、12年間のセキュリティメンテナンスとサポートを保証すると発表しました。新リリースは、インストール、運用、アップグレードが簡単な上、トップクラスのオープンソースネットワーキング、DNS、ゲートウェイ、メトリクスサーバー、ローカルストレージ、ロードバランサー、イングレスサービスを備えています。Cano […]
