コンフィデンシャル、一般提供、オープンソースとは? それがMicrosoft Azure対応Canonical Ubuntu 22.04!
by Canonical on 10 February 2023
Canonicalの全チームを代表し、Microsoft AzureでUbuntu 22.04 Confidential VM(CVM)の一般提供を発表いたします!今回のCVMは、第3世代のAMD CPUに追加されたセキュリティ拡張機能Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)に対応するMicrosoft Azure DCasv5/ECasv5シリーズの一環です。
したがってUbuntu 22.04 CVMは、クラウドの特権システムソフトウェア(ハイパーバイザ、ホストOS、ファームウェア)を侵害しかねない強力な敵、あるいはVMに不正にアクセスできる悪質な、または侵害を受けたクラウドプロバイダー管理者からもパブリッククラウドのワークロードを守ります。
コンフィデンシャルコンピューティングとは、複数の関係者の協力を必要とする業界全体の取り組みです。ハードウェア側では、すでにシリコンプロバイダーがかなりのリソースをTrusted Execution Environment(TEE)の開発に投入しています。そのようなTEEを積極的に採用しているのがパブリッククラウドプロバイダー(PCP)です。PCPは、コンフィデンシャルワークロードをユーザーが簡単に実行できるよう、VM全体をそのままTEE内で実行する「シフト&リフト」への対応に力を注いでいます。これなら、開発者がコンフィデンシャルアプリのリファクタリングや書き直しをする必要はありません。ただし、ゲストオペレーティングシステムを最適化することで、ユーザーアプリがプラットフォームのハードウェアTEE機能を利用し、起動中や休止中のVMもしっかり保護するようにする必要があります。
ここ数カ月間、Canonical Ubuntuが取り組んでいるのがそれです。Microsoft Azureとの緊密な協力のおかげで、このたびAzureのUbuntu 22.04 CVMを使ってコンフィデンシャルパブリッククラウドワークロードを構築していただけるようになりました。
Ubuntu CVMの仕組み
Ubuntu CVMは、VMのライフサイクル全体にわたってセキュリティを確保することで強力なセキュリティ保証を実現します。
- 実行中:AMD SEV-SNPにより、ユーザーのVMのコードとデータはシステムメモリ内で処理される際に暗号化されます。暗号化には、CPUのメモリコントローラに組み込まれた最新のAES-128ハードウェア暗号化エンジンが利用されます。暗号化キーはAMDセキュアプロセッサーによってさらに保護され、管理されます。
- 休止中:ワークロード全体が、Ubuntuに強化されたフルディスク暗号化機能で暗号化されます。暗号化キー自体もVMの仮想ディスクに暗号化されて保存されます。それがインスタンスに紐付けられた仮想TPM(vTPM)にバインドされます。最後に、vTPM自体がゲストVMのアドレス空間の一部であり、AMD SEV-SNP拡張がVMインスタンス全体に提供するのと同じ実行中セキュリティ保証によって守られます。
- 起動中:VMを起動する前、プラットフォームは、OS、ファームウェア、プラットフォームのブート測定値の検証に使用可能なハードウェアにルートを持つ署名付き証明書を提供します。
今後の展望
ユーザーはUbuntu 22.04 CVMにより、多層防御アーキテクチャをさらに厚くし、Azureワークロードの攻撃対象領域を縮小することになります。Ubuntuはこれに関連する複雑なタスクを処理し、スムーズに新しいレベルのセキュリティを実現します。
すでにパブリッククラウドをお使いなら、コンフィデンシャルVMとしてVMを実行することにはメリットしかありません。セキュリティが心配でパブリッククラウドを使っていないのであれば、コンフィデンシャルコンピューティングの進歩によってリスク評価を再検討し、組織に最適な結論に達することができるでしょう。
Canonicalでは、コンフィデンシャルコンピューティングと個人情報を保護する技術こそ、未来のコンピューティングのデフォルトになると考えています。だからこそCanonical UbuntuのコンフィデンシャルVMは無償なのです。Azureでは、お使いのUbuntu CVMにいつでもCanonicalのUbuntu Proサービスを追加できます。これには10年間の長期セキュリティメンテナンス、イメージの認証と堅牢化、カーネルライブパッチ機能が含まれます。
Canonical Ubuntuのコンフィデンシャルコンピューティングはまだ始まったばかり!これからもCanonicalのポートフォリオ拡張に関する今後の発表にご期待ください。
その他のリソース
ニュースレターのサインアップ
関連記事
Japan IT Week 2025 にCanonicalが出展!
最新のAIoT & セキュリティソリューションを体験しよう 日本最大級のIT展示会 Japan IT Week が、2025年4月23日(水)~25日(金)に東京ビッグサイトで開催されます。Canonicalは、今年も IoT & Edge Computing Expo に出展し、最新の AIoT および セキュリティソリューション をご紹介します。 イベント情報 開催日時: 2025年4月23日(水)~25日(金)会場: 東京ビッグサイトCanonicalブース: 26-14 | IoT・エッジコンピューティング EXPO来場登録: こちらから事前登録ライブデモ事前予約: 事前予約 Canonicalブースの見どころ Canonicalブースでは、以下の最新ソリューショ […]
自動パッチ適用とは
自動パッチ適用とは システムの脆弱性が増えるにつれ、サイバーインシデント、攻撃、侵害のリスクが増大しています。システムを24時間保護することが、これまでになく重要な時代になりました。 パッチ適用は、あらゆる脆弱性管理に必須の作業です。このブログ記事では、パッチ管理について概説し、手動と自動でのパッチ管理を比較します。また、自動パッチ管理の使用事例や利点を説明し、自動パッチ管理の戦略を立てる明確な手順を定義します。 パッチ管理とは ソフトウェアに関して言えば、パッチとはプログラミングの問題、欠陥、脆弱性を修正するための更新ファイルです。ソフトウェアが円滑かつ安全に実行されるよう、セキュリティ上の脆弱性、バグ、パフォーマンス上の問題に対処します。 パッチ管理とは、対象のソフト […]
Canonicalが12年間のKubernetes LTSを発表
CanonicalのKubernetes LTS(長期サポート)はFedRAMPのコンプライアンスに対応し、ベアメタル、パブリッククラウド、OpenStack、Canonical MicroCloud、VMwareで最小12年のセキュリティメンテナンスおよびエンタープライズサポートが保証されます。 2025年2月 – Canonicalは本日、Kubernetes 1.32以降、12年間のセキュリティメンテナンスとサポートを保証すると発表しました。新リリースは、インストール、運用、アップグレードが簡単な上、トップクラスのオープンソースネットワーキング、DNS、ゲートウェイ、メトリクスサーバー、ローカルストレージ、ロードバランサー、イングレスサービスを備えています。Cano […]
