Sicherheitskonfiguration virtueller Computer
CycleCloud 8.5 unterstützt das Erstellen von VMs mit dem Sicherheitstyp "Trusted Launch " oder "Confidential".
Hinweis
Die Verwendung dieser Features kann mit einigen Einschränkungen verbunden sein, z. B. keine Unterstützung von Sicherungen, verwalteten Datenträgern und kurzlebigen Betriebssystemdatenträgern. Darüber hinaus erfordern sie bestimmte Images und VM-Größen. Weitere Informationen finden Sie in der obigen Dokumentation.
Diese Features können im Clusterformular geändert oder direkt in der Clustervorlage festgelegt werden.
Das primäre Attribut, das dies aktiviert, ist SecurityType
, was oder ConfidentialVM
sein TrustedLaunch
kann.
Um beispielsweise für jede VM im Cluster standardmäßig vertrauenswürdige Starteinstellungen zu verwenden, fügen Sie dies ihrer Vorlage hinzu:
[[node defaults]]
# Start VMs with TrustedLaunch
SecurityType = TrustedLaunch
Standardsicherheit ist die Standardsicherheit, sodass sie nicht angegeben werden muss. Wenn Sie einen Wert für SecurityType
Ihren Cluster angegeben und importiert haben, können Sie diese Zeile einfach auskommentieren oder entfernen und den Cluster erneut importieren, um den Wert zu entfernen.
Wenn Sie einen Wert für defaults
festlegen und die Standardsicherheit nur für einen bestimmten Knoten verwenden möchten, können Sie den Wert mit undefined()
überschreiben (beachten Sie die Verwendung von, :=
um eine strenge Analyse des Werts zu aktivieren):
[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()
Die Verwendung von vertrauenswürdigen Start- oder vertraulichen VMs ermöglicht andere Sicherheitsfeatures, die standardmäßig auf true festgelegt sind:
EnableSecureBoot=true
: Verwendet den sicheren Start, mit dem Sie Ihre virtuellen Computer vor Startkits, Rootkits und Malware auf Kernelebene schützen können.EnableVTPM=true
: Verwendet vTPM (Virtual Trusted Platform Module ), das TPM2.0-kompatibel ist und die Startintegrität Ihrer VM überprüft, abgesehen von der sicheren Speicherung von Schlüsseln und Geheimnissen.
Hinweis
Diese Attribute haben keine Auswirkungen auf den Standardsicherheitstyp Standard.
Darüber hinaus ermöglichen vertrauliche VMs ein neues Datenträgerverschlüsselungsschema.
Dieses Schema schützt alle kritischen Partitionen des Datenträgers und macht den geschützten Datenträgerinhalt nur für den virtuellen Computer zugänglich. Ähnlich wie Server-Side Encryption ist der Standardwert plattformverwaltete Schlüssel , sie können jedoch stattdessen kundenseitig verwaltete Schlüssel verwenden.
Die Verwendung von Customer-Managed Schlüsseln für die vertrauliche Verschlüsselung erfordert einen Datenträgerverschlüsselungssatz , dessen Verschlüsselungstyp ist ConfidentialVmEncryptedWithCustomerKey
. Weitere Informationen finden Sie unter Datenträgerverschlüsselung .