Google CloudでUbuntu Confidential VMとIntel® TDXを使ってみる
by Canonical on 7 November 2023
コンフィデンシャルコンピューティングは、クラウドの基盤となるハードウェアでゲストマシンのデータセキュリティを保証することにより、クラウドプロバイダーに対するユーザーの信頼を強化します。Confidential Computing Consortiumによれば、コンフィデンシャルコンピューティングとは、ハードウェアをベースとした実証済みのTrusted Execution Environment(信頼できる実行環境)で処理を実行することによって使用中のデータを保護することです。
CanonicalとGoogle Cloudの緊密な技術協力により、UbuntuはGoogle Cloudの大規模な運用に最適化されています。コンフィデンシャルコンピューティングでは複数の要素を調整する必要があります。CanonicalはGoogle Cloudとともに、Ubuntuでこの重要な機能を完全にサポートできることをうれしく思います。コンフィデンシャルコンピューティングによってゲストに対する大規模な攻撃が軽減されるため、企業はクラウドを安心して運用できます。
Intel®トラストドメインエクステンション(Intel® TDX)
コンフィデンシャルコンピューティングドメインの熱心な貢献者として、Intelは2023年1月に新しい第4世代Xeonエンタープライズプロセッサの発表とともに、コンフィデンシャルコンピューティングのポートフォリオにIntel®トラストドメインエクステンション(TDX)を導入しました。Intel®トラストドメインエクステンションとは、ハードウェアとソフトウェアの機能を併用してIntelプロセッサ上で動作する仮想マシン(VM)を分離し、セキュリティを確保します。Intel® TDXには、トラストドメイン(TD)と呼ばれるハードウェアで分離された仮想マシン(VM)の運用を可能にする革新的なアーキテクチャが導入されています。Intel® TDXの主な目的は、TDと仮想マシンマネージャー(VMM)/ハイパーバイザー、その他の非TDソフトウェアを分離する堅牢な層を作り、さまざまな脅威から包括的に保護することです。これらのハードウェア分離されたTDは、セキュアアービトレーションモード(SEAM)など複数の重要なコンポーネントを含みます。SEAMは、Intelが提供するデジタル署名済みのセキュリティサービスモジュールであるIntel® TDXモジュールをホストします。その他のTDXの機能は以下のとおりです。
- GPA(ゲスト物理アドレス)の共有ビット
- アドレス変換の整合性のためのセキュアEPT(拡張ページテーブル)
- ページ管理のための物理アドレスメタデータテーブル(PAMT)
- メモリの暗号化と整合性のためのIntel Total Memory Encryption-Multi Key(Intel TME-MK)エンジン
- リモート認証
Intel® TDXシステム内でのTD実行のセキュリティと信頼性を確保するためにすべての機能が不可欠です。
基本的に、最新の第4世代Intel® Xeon CPUの付随機能であるIntel® TDXでは、Google Compute Engine C3マシンの論理的に分離されたハードウェアベースの実行環境内でワークロードを実行できます。この優れた機能は、高度なAES-128暗号化エンジンを介してリアルタイム暗号化を実行するシステムメモリの専用セグメントをTDXに割り当てることによって実現されています。さらに、TDXにはメモリアクセスを綿密に管理する厳格なアクセス制御手段が導入され、クラウドの特権システムソフトウェアなどからの外部アクセスを効果的に阻止します。
UbuntuによるIntel® TDXのサポート
Intel® TDXでは、Intel CPUに合わせてオペレーティングシステムに複数の要素が必要です。Ubuntuは、Intel® TDX用のLinuxスタックを通じてIntel® TDXをサポートしています。Linuxスタックは、Linuxオペレーティングシステムを構成するソフトウェアの階層を示すもので、以下の重要なレイヤーを網羅しています。
- カーネル:カーネルは、その中核でオペレーティングシステムの基本的な柱として機能し、他のすべてのソフトウェアを構築する重要なサービスを提供します。
- デバイスドライバー:これらの特殊なソフトウェアコンポーネントは仲介役として機能し、オペレーティングシステムとシステム内のハードウェアデバイス間のシームレスなやり取りを容易にします。
- システムライブラリ:システムライブラリは、アプリケーション全体で広く役立つ共有機能のレパートリーを提供します。
- ユーザー空間アプリケーション:最も外側の領域には、ユーザーがシステムの機能に直接関与するための具体的なインタフェースとしてユーザー空間アプリケーションがあります。
Google CloudでUbuntu Confidential VMとIntel® TDXを使ってみるには
Google Cloud Intel® TDXでコンフィデンシャルコンピューティングを開始するには、Google Cloud CLIでinstance createサブコマンドを使用し、— confidential-compute-type=TDXと指定して、第4世代Intel® XeonスケーラブルCPUを用いてIntel® TDXテクノロジーを有効にする新しいC3マシンシリーズを選択します。以下のようになります。
gcloud alpha compute instances create INSTANCE_NAME \ --machine-type MACHINE_TYPE --zone us-central1-a \ --confidential-compute-type=TDX \ --on-host-maintenance=TERMINATE \ --image-family=IMAGE_FAMILY_NAME \ --image-project=IMAGE_PROJECT \ --project PROJECT_NAME
ここで、
- MACHINE_TYPEは、使用するC3マシンタイプです。
- IMAGE_FAMILY_NAMEは、Ubuntu 22.04 LTSやUbuntu 22.04 LTS Pro Serverなど、使用するコンフィデンシャルVMでサポートされているイメージファミリーの名前です。
すぐにセキュリティ技術の最新の進歩を活用できます。
コンフィデンシャルコンピューティングに関するその他のリソース:
ニュースレターのサインアップ
関連記事
LinuxのノートPCを調達する際の注意点
機器の調達はビジネスの成否に直接影響する要素です。購入する機器によって、チームがどのようにプロジェクトを遂行し、成功に貢献できるのかが決まるからです。では、LinuxノートPCに関して「十分な装備」とはどのようなものでしょうか? このブログ記事では、LinuxノートPCを調達する際のベストプラクティスを紹介します。取り上げる内容は、ハードウェアを最大限に活用し、コンプライアンス目標を達成し、確実に長期的な成功を収める方法です。 LinuxノートPCの定義 調達には要件が伴うものであり、担当者はそれに忠実に従うことが求められます。LinuxノートPCを調達する目的が特殊なユースケース(AIやグラフィックスなど)であっても、一般的なデスクトップ用途であっても、「Linuxノー […]
Japan IT Week 2025 にCanonicalが出展!
最新のAIoT & セキュリティソリューションを体験しよう 日本最大級のIT展示会 Japan IT Week が、2025年4月23日(水)~25日(金)に東京ビッグサイトで開催されます。Canonicalは、今年も IoT & Edge Computing Expo に出展し、最新の AIoT および セキュリティソリューション をご紹介します。 イベント情報 開催日時: 2025年4月23日(水)~25日(金)会場: 東京ビッグサイトCanonicalブース: 26-14 | IoT・エッジコンピューティング EXPO来場登録: こちらから事前登録ライブデモ事前予約: 事前予約 Canonicalブースの見どころ Canonicalブースでは、以下の最新ソリューショ […]
自動パッチ適用とは
自動パッチ適用とは システムの脆弱性が増えるにつれ、サイバーインシデント、攻撃、侵害のリスクが増大しています。システムを24時間保護することが、これまでになく重要な時代になりました。 パッチ適用は、あらゆる脆弱性管理に必須の作業です。このブログ記事では、パッチ管理について概説し、手動と自動でのパッチ管理を比較します。また、自動パッチ管理の使用事例や利点を説明し、自動パッチ管理の戦略を立てる明確な手順を定義します。 パッチ管理とは ソフトウェアに関して言えば、パッチとはプログラミングの問題、欠陥、脆弱性を修正するための更新ファイルです。ソフトウェアが円滑かつ安全に実行されるよう、セキュリティ上の脆弱性、バグ、パフォーマンス上の問題に対処します。 パッチ管理とは、対象のソフト […]
