Share via

تكوين أمان الجهاز الظاهري

  • مقالة

يدعم CycleCloud 8.5 إنشاء أجهزة ظاهرية بنوع أمان إما Trusted Launch أو Confidential.

ملاحظة

قد يأتي استخدام هذه الميزات مع بعض القيود، والتي تتضمن عدم دعم النسخ الاحتياطي والأقراص المدارة وأقراص نظام التشغيل سريعة الزوال. بالإضافة إلى ذلك، فإنها تتطلب صورا محددة وأحجام أجهزة ظاهرية. راجع الوثائق أعلاه لمزيد من المعلومات.

يمكن تعديل هذه الميزات في نموذج نظام المجموعة أو تعيينها مباشرة على قالب نظام المجموعة.

السمة الأساسية التي تمكن هذا هي SecurityType، والتي يمكن أن تكون TrustedLaunch أو ConfidentialVM. على سبيل المثال، لجعل كل جهاز ظاهري في نظام المجموعة يستخدم Trusted Launch بشكل افتراضي، أضف هذا إلى القالب الخاص بك:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

الأمان القياسي هو الإعداد الافتراضي لذلك لا يلزم تحديده. إذا قمت بمنح قيمة للمجموعة SecurityType واستيرادها، يمكنك ببساطة التعليق أو إزالة هذا السطر وإعادة استيراد نظام المجموعة لإزالة القيمة. إذا قمت بتعيين قيمة على defaults وتريد استخدام الأمان القياسي فقط لبعض العقد المحددة، يمكنك تجاوز القيمة باستخدام undefined() (لاحظ استخدام := لتمكين التحليل الصارم للقيمة):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

يتيح استخدام إما Trusted Launch أو Confidential VMs ميزات الأمان الأخرى، سواء كانت افتراضية إلى true:

  • EnableSecureBoot=true: يستخدم التمهيد الآمن، والذي يساعد على حماية الأجهزة الظاهرية الخاصة بك من مجموعات التمهيد و rootkits والبرامج الضارة على مستوى النواة.

  • EnableVTPM=true: يستخدم الوحدة النمطية للنظام الأساسي الموثوق به الظاهري (vTPM)، وهي متوافقة مع TPM2.0 وتتحقق من سلامة تمهيد الجهاز الظاهري بصرف النظر عن تخزين المفاتيح والأسرار بأمان.

ملاحظة

هذه السمات ليس لها أي تأثير مع نوع الأمان القياسي الافتراضي.

بالإضافة إلى ذلك، تمكن الأجهزة الظاهرية السرية نظام تشفير قرص جديد. يحمي هذا النظام جميع الأقسام الهامة للقرص ويجعل محتوى القرص المحمي متاحا فقط للجهاز الظاهري. على غرار تشفير Server-Side، الافتراضي هو المفاتيح المدارة بواسطة النظام الأساسي ولكن يمكنك استخدام المفاتيح المدارة من قبل العميل بدلا من ذلك. يتطلب استخدام مفاتيح Customer-Managed للتشفير السري مجموعة تشفير القرص التي يكون نوع تشفيرها هو ConfidentialVmEncryptedWithCustomerKey. راجع تشفير القرص للحصول على المزيد.