Share via

Sicherheitskonfiguration virtueller Computer

  • Artikel

CycleCloud 8.5 unterstützt das Erstellen von VMs mit dem Sicherheitstyp "Trusted Launch " oder "Confidential".

Hinweis

Die Verwendung dieser Features kann mit einigen Einschränkungen verbunden sein, z. B. keine Unterstützung von Sicherungen, verwalteten Datenträgern und kurzlebigen Betriebssystemdatenträgern. Darüber hinaus erfordern sie bestimmte Images und VM-Größen. Weitere Informationen finden Sie in der obigen Dokumentation.

Diese Features können im Clusterformular geändert oder direkt in der Clustervorlage festgelegt werden.

Das primäre Attribut, das dies aktiviert, ist SecurityType, was oder ConfidentialVMsein TrustedLaunch kann. Um beispielsweise für jede VM im Cluster standardmäßig vertrauenswürdige Starteinstellungen zu verwenden, fügen Sie dies ihrer Vorlage hinzu:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

Standardsicherheit ist die Standardsicherheit, sodass sie nicht angegeben werden muss. Wenn Sie einen Wert für SecurityType Ihren Cluster angegeben und importiert haben, können Sie diese Zeile einfach auskommentieren oder entfernen und den Cluster erneut importieren, um den Wert zu entfernen. Wenn Sie einen Wert für defaults festlegen und die Standardsicherheit nur für einen bestimmten Knoten verwenden möchten, können Sie den Wert mit undefined() überschreiben (beachten Sie die Verwendung von, := um eine strenge Analyse des Werts zu aktivieren):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

Die Verwendung von vertrauenswürdigen Start- oder vertraulichen VMs ermöglicht andere Sicherheitsfeatures, die standardmäßig auf true festgelegt sind:

  • EnableSecureBoot=true: Verwendet den sicheren Start, mit dem Sie Ihre virtuellen Computer vor Startkits, Rootkits und Malware auf Kernelebene schützen können.

  • EnableVTPM=true: Verwendet vTPM (Virtual Trusted Platform Module ), das TPM2.0-kompatibel ist und die Startintegrität Ihrer VM überprüft, abgesehen von der sicheren Speicherung von Schlüsseln und Geheimnissen.

Hinweis

Diese Attribute haben keine Auswirkungen auf den Standardsicherheitstyp Standard.

Darüber hinaus ermöglichen vertrauliche VMs ein neues Datenträgerverschlüsselungsschema. Dieses Schema schützt alle kritischen Partitionen des Datenträgers und macht den geschützten Datenträgerinhalt nur für den virtuellen Computer zugänglich. Ähnlich wie Server-Side Encryption ist der Standardwert plattformverwaltete Schlüssel , sie können jedoch stattdessen kundenseitig verwaltete Schlüssel verwenden. Die Verwendung von Customer-Managed Schlüsseln für die vertrauliche Verschlüsselung erfordert einen Datenträgerverschlüsselungssatz , dessen Verschlüsselungstyp ist ConfidentialVmEncryptedWithCustomerKey. Weitere Informationen finden Sie unter Datenträgerverschlüsselung .