Ubuntu ProとコンフィデンシャルVMでクラウドのサイバーセキュリティを強化
by Canonical on 2 November 2023
今日のデジタル環境では、あらゆる規模の組織がクラウドでのプレゼンスを拡大しています。ただし、そのために攻撃対象領域も大幅に増加し、セキュリティが最大の懸念事項となりました。このブログ記事では、クラウドのサイバーセキュリティという注目度の高い世界について深く掘り下げ、Ubuntuを利用してワークロードを保護する強力なアプローチを探ります。
OSの選択がクラウドのサイバーセキュリティにとって重要である理由
まず、オペレーティングシステムの選択がセキュリティにとって重要である理由を説明します。アプリケーションの開発時はセキュリティの確保に多大な努力が払われていますが、開発者が対応できる範囲は、セキュリティというパズルの1ピースに過ぎません。
アプリケーションを実運用環境で実行すれば、オペレーティングシステム、仮想マシンマネージャー、プラットフォームのファームウェアなど、特権システムソフトウェアから脅威が発生する可能性が生まれることになります。
設計上、このようなソフトウェアは、アプリケーションのすべてのリソースに広範にアクセスすることができるため、攻撃や侵害を受けた場合は、アプリケーションのすべての機密データが漏えいする可能性があります。したがって、アプリケーションセキュリティの上限は、オペレーティングシステムのセキュリティによって決まることを認識しておくことが極めて重要です。では、Ubuntuでは、クラウドのワークロード向けにどのようなセキュリティ対策を提供しているのでしょうか?
Ubuntuによるクラウドのサイバーセキュリティ
Ubuntuには、フルディスク暗号化、AppArmorによる強制アクセス制御、ファイルシステム機能、UEFIセキュアブートなど、組み込みのセキュリティ機能が多数用意されています。セキュリティ体制をさらに強化するために、Ubuntu Proサブスクリプションで追加のセキュリティ機能を有効にすることもできます。
Ubuntu Proは、オープンソースソフトウェアのセキュリティに対応したCanonicalの包括的なサブスクリプションです。Ubuntu Proをパブリッククラウド上で使用することにより、これまでにないレベルのセキュリティが実現します。その内容を詳しく見てみましょう。
- 幅広いセキュリティ対応範囲:Ubuntu Proは、Apache Kafka、NGINX、MongoDB、Redis、PostgreSQLといった人気のアプリケーションを含め、25,000以上のオープンソースパッケージに対応した包括的なセキュリティパッチを提供します。
- ダウンタイムの低減:Ubuntu ProのLivepatchサービスは、カーネルの重大かつ致命的なCVEに対し、実行中に即座にパッチを適用します。直ちに再起動する必要もありません。これにより、ビジネスの中断を大幅に短縮し、稼働時間を最大化できます。
- 10年間保証されるプラットフォームの安定性と安心感:Canonicalは、LTSリリースを実行しているUbuntu Proユーザーに対し、10年間のセキュリティメンテナンスを保証しています。また、ワークロードについても安定性と保護を10年間保証します。
- コンプライアンス認定:Ubuntu Proは、DISA-STIG、CIS堅牢化および監査、FIPS認定暗号化モジュールなどの自動化および監査ツールを提供します。これによりコンプライアンスプロセスが簡素化され、規制要件を容易に満たすことができます。
- 24時間年中無休のサポート:Ubuntu Proには平日または24時間年中無休のサポートオプションがあり、必要なときにいつでも専門家のサポートを受けられます。これには、25,000種類のオープンソースパッケージと幅広いアプリケーションに対するトラブルシューティング、故障修正、バグ修正が含まれています。また、24時間年中無休のサポートを選択した場合、致命的で破壊的な問題については初回の応答を1時間以内に得られます。
Ubuntu Proは、個人および小規模なビジネスなら5台まで、Ubuntuコミュニティの公式メンバーであれば50台まで無料です。
コンフィデンシャルコンピューティングによってクラウドのサイバーセキュリティを強化
パブリッククラウドのワークロードを既知のセキュリティ脆弱性から保護するには、セキュリティの堅牢化とCVEパッチの自動適用が不可欠です。ただし、クラウドの特権システムソフトウェア内のゼロデイ脆弱性や、潜在的に悪意のあるクラウドプロバイダーからデータを保護することはできません。
これは最近まで、機密性の高いワークロードを実行中に保護する目的で利用できるメカニズムがなかったためです。現在はコンフィデンシャルコンピューティングによって、ハードウェアにルートを持つ論理的に隔離された実行環境内でアプリケーションを実行できるシステムレベルのプリミティブが提供されています。
UbuntuコンフィデンシャルVM
AMD SEV-SNPまたはIntel TDX CPUエクステンションを使用すると、最新のAES-128ハードウェア暗号化エンジンを使用してシステムメモリとCPUレジスタを暗号化したUbuntuコンフィデンシャルVMを展開できます。
クラウドで実行されるワークロードはハードディスクから読み込まれるため、Ubuntuはフルディスク暗号化機能も使用して保存中のデータを保護します。
UbuntuはAESを使用して書き込むデータすべてをディスクで暗号化および解読し、暗号化キー(それ自体も暗号化されている)をVM仮想ディスクに保存します。キーを解読できるのは、CVMインスタンスに関連付けられている仮想vTPM(virtual Trusted Platform Module)だけです。
UbuntuのコンフィデンシャルVMでは、実行中、保存中、起動中にデータのセキュリティが確保されます。
Canonicalでは、将来的にはコンフィデンシャルコンピューティングと個人情報を保護する技術がコンピューティングの標準的なアプローチになると強く確信しています。そのためコンフィデンシャルコンピューティングソリューションのポートフォリオは、すべてのパブリッククラウドで無料としました。
このトピックの詳細は、ホワイトペーパーをお読みください。Ubuntuを使用したAzureクラウドのサイバーセキュリティについて説明しています。
安全なUbuntuのワークロードを今すぐパブリッククラウドに展開
パブリッククラウド上でUbuntuを使用することで、クラウドのワークロードを強化するために必要な基盤が提供されます。Ubuntu Proの長期セキュリティ保証、ダウンタイムの短縮、コンプライアンスツール、コンフィデンシャルコンピューティングのサポートにより、最先端セキュリティの信頼感と安心感を得ることができます。
セキュリティ全般に対するCanonicalのアプローチについては、こちらからお問い合わせください。
ニュースレターのサインアップ
関連記事
CentOSのサポート終了(EOL)– Cephストレージへの影響は?
暗闇から光の中へ、新たな前進 2020年に、CentOS ProjectはCentOS Streamのみに注力することを発表しました。つまりCentOS 7がRed Hat Enterprise Linuxと共通性を持つ最後のリリースです。2024年6月30日のCentOS 7のサポート終了(EOL)により、OSのセキュリティ更新、パッチ、新機能のリリースがなくなります。 このバージョンのCentOSにCephをデプロイすると、将来の困難は見えています。EOLの課題を切り抜ける方法はいくつかありますが、それぞれに短所があります。 リスク 何もしなければ、デプロイメントが古くなるにつれてCephの新しいバージョンにアップグレードする道がなくなり、新しい機能を得られなくなりま […]
PostgreSQLをAIに活用
AIを扱うことはデータを扱うこと。数値データから動画や画像まで、業界や用途を問わず、AIプロジェクトは何らかの形でデータに依存します。問題は、そのデータをどうやって効率的に保管し、モデルを構築する際に使用するかです。解決策の1つは、実績があり、愛好者の多いデータベースであるPostgreSQLです。近年の開発により、AIをサポートする有力な選択肢になっています。 PostgreSQLを選ぶべき理由 PostgreSQLはオープンソースで高機能のデータベースシステムです。外部キー、サブクエリ、トリガーのほか、さまざまなユーザー定義型や関数をサポートしています。近年はデータベース分野で人気を高め、2023年には年間最優秀データベース管理システム(DBMS)に選出されました。 […]
CanonicalがUbuntu 14.04 LTS以降の長期サポートを12年間に延長
Canonicalは本日、Ubuntu ProアドオンとしてLegacy Supportの一般提供を発表しました。これによりUbuntu LTSリリースのセキュリティ更新とサポート期間が12年間に延長されます。アドオンの対象はUbuntu 14.04 LTS以降です。 長期サポートのUbuntuリリースには、mainリポジトリに対する5年間のセキュリティメンテナンスが標準で付属します。Ubuntu Proは、mainリポジトリとuniverseリポジトリの両方に10年間のメンテナンスを提供し、企業にもエンドユーザーにも安全なオープンソースソフトウェアを幅広く提供します。このサブスクリプションは電話およびチケットによるサポートも含みます。Ubuntu Proの有償契約者のお […]