コンフィデンシャル、一般提供、オープンソースとは? それがMicrosoft Azure対応Canonical Ubuntu 22.04!
by Canonical on 10 February 2023
Canonicalの全チームを代表し、Microsoft AzureでUbuntu 22.04 Confidential VM(CVM)の一般提供を発表いたします!今回のCVMは、第3世代のAMD CPUに追加されたセキュリティ拡張機能Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)に対応するMicrosoft Azure DCasv5/ECasv5シリーズの一環です。
したがってUbuntu 22.04 CVMは、クラウドの特権システムソフトウェア(ハイパーバイザ、ホストOS、ファームウェア)を侵害しかねない強力な敵、あるいはVMに不正にアクセスできる悪質な、または侵害を受けたクラウドプロバイダー管理者からもパブリッククラウドのワークロードを守ります。
コンフィデンシャルコンピューティングとは、複数の関係者の協力を必要とする業界全体の取り組みです。ハードウェア側では、すでにシリコンプロバイダーがかなりのリソースをTrusted Execution Environment(TEE)の開発に投入しています。そのようなTEEを積極的に採用しているのがパブリッククラウドプロバイダー(PCP)です。PCPは、コンフィデンシャルワークロードをユーザーが簡単に実行できるよう、VM全体をそのままTEE内で実行する「シフト&リフト」への対応に力を注いでいます。これなら、開発者がコンフィデンシャルアプリのリファクタリングや書き直しをする必要はありません。ただし、ゲストオペレーティングシステムを最適化することで、ユーザーアプリがプラットフォームのハードウェアTEE機能を利用し、起動中や休止中のVMもしっかり保護するようにする必要があります。
ここ数カ月間、Canonical Ubuntuが取り組んでいるのがそれです。Microsoft Azureとの緊密な協力のおかげで、このたびAzureのUbuntu 22.04 CVMを使ってコンフィデンシャルパブリッククラウドワークロードを構築していただけるようになりました。
Ubuntu CVMの仕組み
Ubuntu CVMは、VMのライフサイクル全体にわたってセキュリティを確保することで強力なセキュリティ保証を実現します。
- 実行中:AMD SEV-SNPにより、ユーザーのVMのコードとデータはシステムメモリ内で処理される際に暗号化されます。暗号化には、CPUのメモリコントローラに組み込まれた最新のAES-128ハードウェア暗号化エンジンが利用されます。暗号化キーはAMDセキュアプロセッサーによってさらに保護され、管理されます。
- 休止中:ワークロード全体が、Ubuntuに強化されたフルディスク暗号化機能で暗号化されます。暗号化キー自体もVMの仮想ディスクに暗号化されて保存されます。それがインスタンスに紐付けられた仮想TPM(vTPM)にバインドされます。最後に、vTPM自体がゲストVMのアドレス空間の一部であり、AMD SEV-SNP拡張がVMインスタンス全体に提供するのと同じ実行中セキュリティ保証によって守られます。
- 起動中:VMを起動する前、プラットフォームは、OS、ファームウェア、プラットフォームのブート測定値の検証に使用可能なハードウェアにルートを持つ署名付き証明書を提供します。
今後の展望
ユーザーはUbuntu 22.04 CVMにより、多層防御アーキテクチャをさらに厚くし、Azureワークロードの攻撃対象領域を縮小することになります。Ubuntuはこれに関連する複雑なタスクを処理し、スムーズに新しいレベルのセキュリティを実現します。
すでにパブリッククラウドをお使いなら、コンフィデンシャルVMとしてVMを実行することにはメリットしかありません。セキュリティが心配でパブリッククラウドを使っていないのであれば、コンフィデンシャルコンピューティングの進歩によってリスク評価を再検討し、組織に最適な結論に達することができるでしょう。
Canonicalでは、コンフィデンシャルコンピューティングと個人情報を保護する技術こそ、未来のコンピューティングのデフォルトになると考えています。だからこそCanonical UbuntuのコンフィデンシャルVMは無償なのです。Azureでは、お使いのUbuntu CVMにいつでもCanonicalのUbuntu Proサービスを追加できます。これには10年間の長期セキュリティメンテナンス、イメージの認証と堅牢化、カーネルライブパッチ機能が含まれます。
Canonical Ubuntuのコンフィデンシャルコンピューティングはまだ始まったばかり!これからもCanonicalのポートフォリオ拡張に関する今後の発表にご期待ください。
その他のリソース
ニュースレターのサインアップ
関連記事
Canonical、LinuxカーネルとUbuntuについて10年間のLTSを再確認
この記事は、CanonicalのSilicon Alliances部門担当副社長Cindy Goldberg、UbuntuカーネルエンジニアリングディレクターBrett Grandbois、リアルタイムカーネルプロダクトマネージャーEdoardo Barbieriが執筆しました。 2023年欧州オープンソースサミット(Open Source Summit Europe)で、Linux Weekly News編集者のJonathan Corbet氏は、Linuxカーネルのアップストリームでの長期サポート(LTS)期間が6年から2年に短縮される可能性が高いと発表しました。詳細はまだ確認されていないものの、この発言は関係者のほか、ソフトウェア計画においてLTSの期間に依存してい […]
CanonicalがUbuntu 14.04 LTS以降の長期サポートを12年間に延長
Canonicalは本日、Ubuntu ProアドオンとしてLegacy Supportの一般提供を発表しました。これによりUbuntu LTSリリースのセキュリティ更新とサポート期間が12年間に延長されます。アドオンの対象はUbuntu 14.04 LTS以降です。 長期サポートのUbuntuリリースには、mainリポジトリに対する5年間のセキュリティメンテナンスが標準で付属します。Ubuntu Proは、mainリポジトリとuniverseリポジトリの両方に10年間のメンテナンスを提供し、企業にもエンドユーザーにも安全なオープンソースソフトウェアを幅広く提供します。このサブスクリプションは電話およびチケットによるサポートも含みます。Ubuntu Proの有償契約者のお […]
新しいマスコットの「戴冠式」:Noble Numbat(高貴なるナンバット)
人気投票、神の意志、剣を授ける湖の乙女など何で選ばれたにしても、王座につくのはたいてい名高い者や高貴な生まれの者です。20周年の前日にUbuntu 24.04 LTSのマスコットとしてNoble Numbatを発表できることをうれしく思います。 貧しい生まれ オーストラリアに生息する小さくて地味な有袋類のナンバット(フクロアリクイ)に、高貴というイメージはないかもしれません。しかし、見た目に騙されてはなりません。絶滅が危惧されるこの不思議な動物は、実はポケットサイズのアリクイ。自身の体長の3分の1もある舌でアリだけ食べて生活しています。背中には王様のローブのような黒と白の縞模様があり、西オーストラリア州の動物の紋章に選ばれています。ナンバットは、貧しい生まれの者が世界に足 […]