Google CloudでUbuntu Confidential VMとIntel® TDXを使ってみる

by Canonical on 7 November 2023

コンフィデンシャルコンピューティングは、クラウドの基盤となるハードウェアでゲストマシンのデータセキュリティを保証することにより、クラウドプロバイダーに対するユーザーの信頼を強化します。Confidential Computing Consortiumによれば、コンフィデンシャルコンピューティングとは、ハードウェアをベースとした実証済みのTrusted Execution Environment(信頼できる実行環境)で処理を実行することによって使用中のデータを保護することです。

CanonicalとGoogle Cloudの緊密な技術協力により、UbuntuはGoogle Cloudの大規模な運用に最適化されています。コンフィデンシャルコンピューティングでは複数の要素を調整する必要があります。CanonicalはGoogle Cloudとともに、Ubuntuでこの重要な機能を完全にサポートできることをうれしく思います。コンフィデンシャルコンピューティングによってゲストに対する大規模な攻撃が軽減されるため、企業はクラウドを安心して運用できます。

Intel®トラストドメインエクステンション(Intel® TDX

コンフィデンシャルコンピューティングドメインの熱心な貢献者として、Intelは2023年1月に新しい第4世代Xeonエンタープライズプロセッサの発表とともに、コンフィデンシャルコンピューティングのポートフォリオにIntel®トラストドメインエクステンション(TDX)を導入しました。Intel®トラストドメインエクステンションとは、ハードウェアとソフトウェアの機能を併用してIntelプロセッサ上で動作する仮想マシン(VM)を分離し、セキュリティを確保します。Intel® TDXには、トラストドメイン(TD)と呼ばれるハードウェアで分離された仮想マシン(VM)の運用を可能にする革新的なアーキテクチャが導入されています。Intel® TDXの主な目的は、TDと仮想マシンマネージャー(VMM)/ハイパーバイザー、その他の非TDソフトウェアを分離する堅牢な層を作り、さまざまな脅威から包括的に保護することです。これらのハードウェア分離されたTDは、セキュアアービトレーションモード(SEAM)など複数の重要なコンポーネントを含みます。SEAMは、Intelが提供するデジタル署名済みのセキュリティサービスモジュールであるIntel® TDXモジュールをホストします。その他のTDXの機能は以下のとおりです。

  • GPA(ゲスト物理アドレス)の共有ビット
  • アドレス変換の整合性のためのセキュアEPT(拡張ページテーブル)
  • ページ管理のための物理アドレスメタデータテーブル(PAMT)
  • メモリの暗号化と整合性のためのIntel Total Memory Encryption-Multi Key(Intel TME-MK)エンジン
  • リモート認証

Intel® TDXシステム内でのTD実行のセキュリティと信頼性を確保するためにすべての機能が不可欠です。

基本的に、最新の第4世代Intel® Xeon CPUの付随機能であるIntel® TDXでは、Google Compute Engine C3マシンの論理的に分離されたハードウェアベースの実行環境内でワークロードを実行できます。この優れた機能は、高度なAES-128暗号化エンジンを介してリアルタイム暗号化を実行するシステムメモリの専用セグメントをTDXに割り当てることによって実現されています。さらに、TDXにはメモリアクセスを綿密に管理する厳格なアクセス制御手段が導入され、クラウドの特権システムソフトウェアなどからの外部アクセスを効果的に阻止します。

UbuntuによるIntel® TDXのサポート

Intel® TDXでは、Intel CPUに合わせてオペレーティングシステムに複数の要素が必要です。Ubuntuは、Intel® TDX用のLinuxスタックを通じてIntel® TDXをサポートしています。Linuxスタックは、Linuxオペレーティングシステムを構成するソフトウェアの階層を示すもので、以下の重要なレイヤーを網羅しています。

  • カーネル:カーネルは、その中核でオペレーティングシステムの基本的な柱として機能し、他のすべてのソフトウェアを構築する重要なサービスを提供します。
  • デバイスドライバー:これらの特殊なソフトウェアコンポーネントは仲介役として機能し、オペレーティングシステムとシステム内のハードウェアデバイス間のシームレスなやり取りを容易にします。
  • システムライブラリ:システムライブラリは、アプリケーション全体で広く役立つ共有機能のレパートリーを提供します。
  • ユーザー空間アプリケーション:最も外側の領域には、ユーザーがシステムの機能に直接関与するための具体的なインタフェースとしてユーザー空間アプリケーションがあります。

Google CloudUbuntu Confidential VMIntel® TDXを使ってみるには

Google Cloud Intel® TDXでコンフィデンシャルコンピューティングを開始するには、Google Cloud CLIでinstance createサブコマンドを使用し、 confidential-compute-type=TDXと指定して、第4世代Intel® XeonスケーラブルCPUを用いてIntel® TDXテクノロジーを有効にする新しいC3マシンシリーズを選択します。以下のようになります。

gcloud alpha compute instances create INSTANCE_NAME \
--machine-type MACHINE_TYPE --zone us-central1-a \
--confidential-compute-type=TDX \
--on-host-maintenance=TERMINATE \
--image-family=IMAGE_FAMILY_NAME \
--image-project=IMAGE_PROJECT \
--project PROJECT_NAME

ここで、

  • MACHINE_TYPEは、使用するC3マシンタイプです。
  • IMAGE_FAMILY_NAMEは、Ubuntu 22.04 LTSやUbuntu 22.04 LTS Pro Serverなど、使用するコンフィデンシャルVMでサポートされているイメージファミリーの名前です。

すぐにセキュリティ技術の最新の進歩を活用できます。

コンフィデンシャルコンピューティングに関するその他のリソース:

ニュースレターのサインアップ

Ubuntuニュースレターの配信登録

お客様が購読登録を行われる場合、以下の条件に同意されたことになります。Canonicalのプライバシーに関するお知らせ個人情報保護ポリシー

関連記事

PostgreSQLをAIに活用

AIを扱うことはデータを扱うこと。数値データから動画や画像まで、業界や用途を問わず、AIプロジェクトは何らかの形でデータに依存します。問題は、そのデータをどうやって効率的に保管し、モデルを構築する際に使用するかです。解決策の1つは、実績があり、愛好者の多いデータベースであるPostgreSQLです。近年の開発により、AIをサポートする有力な選択肢になっています。 PostgreSQLを選ぶべき理由 PostgreSQLはオープンソースで高機能のデータベースシステムです。外部キー、サブクエリ、トリガーのほか、さまざまなユーザー定義型や関数をサポートしています。近年はデータベース分野で人気を高め、2023年には年間最優秀データベース管理システム(DBMS)に選出されました。 […]

CanonicalがUbuntu 14.04 LTS以降の長期サポートを12年間に延長

Canonicalは本日、Ubuntu ProアドオンとしてLegacy Supportの一般提供を発表しました。これによりUbuntu LTSリリースのセキュリティ更新とサポート期間が12年間に延長されます。アドオンの対象はUbuntu 14.04 LTS以降です。 長期サポートのUbuntuリリースには、mainリポジトリに対する5年間のセキュリティメンテナンスが標準で付属します。Ubuntu Proは、mainリポジトリとuniverseリポジトリの両方に10年間のメンテナンスを提供し、企業にもエンドユーザーにも安全なオープンソースソフトウェアを幅広く提供します。このサブスクリプションは電話およびチケットによるサポートも含みます。Ubuntu Proの有償契約者のお […]

新しいマスコットの「戴冠式」:Noble Numbat(高貴なるナンバット)

人気投票、神の意志、剣を授ける湖の乙女など何で選ばれたにしても、王座につくのはたいてい名高い者や高貴な生まれの者です。20周年の前日にUbuntu 24.04 LTSのマスコットとしてNoble Numbatを発表できることをうれしく思います。 貧しい生まれ オーストラリアに生息する小さくて地味な有袋類のナンバット(フクロアリクイ)に、高貴というイメージはないかもしれません。しかし、見た目に騙されてはなりません。絶滅が危惧されるこの不思議な動物は、実はポケットサイズのアリクイ。自身の体長の3分の1もある舌でアリだけ食べて生活しています。背中には王様のローブのような黒と白の縞模様があり、西オーストラリア州の動物の紋章に選ばれています。ナンバットは、貧しい生まれの者が世界に足 […]


© 2024 Canonical Ltd. Ubuntu および Canonical は、Canonical Ltd の登録商標です。