Configuração de segurança da máquina virtual

  • Artigo

O CycleCloud 8.5 dá suporte à criação de VMs com um tipo de segurança de Inicialização Confiável ou Confidencial.

Observação

O uso desses recursos pode vir com algumas limitações, que incluem não dar suporte a backup, discos gerenciados e discos do sistema operacional efêmero. Além disso, elas exigem imagens e tamanhos de VM específicos. Consulte a documentação acima para obter mais informações.

Esses recursos podem ser modificados no formato de cluster ou definidos diretamente no modelo de cluster.

O atributo primário que permite isso é SecurityType, que pode ser TrustedLaunch ou ConfidentialVM. Por exemplo, para fazer com que todas as VMs no cluster usem o Início Confiável por padrão, adicione isso ao modelo:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

A segurança padrão é o padrão, portanto, ela não precisa ser especificada. Se você tiver dado um valor para SecurityType e importado seu cluster, poderá simplesmente comentar ou remover essa linha e importar novamente o cluster para remover o valor. Se você definir um valor em defaults e quiser usar a segurança Padrão apenas para algum nó específico, poderá substituir o valor por undefined() (observe o uso de := para habilitar a análise estrita do valor):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

O uso de VMs confiáveis ou de inicialização confidencial permite outros recursos de segurança, ambos padrão como true:

  • EnableSecureBoot=true: usa a Inicialização Segura, que ajuda a proteger suas VMs contra kits de inicialização, rootkits e malware no nível do kernel.

  • EnableVTPM=true: usa o VTPM (Virtual Trusted Platform Module ), que é compatível com o TPM2.0 e valida a integridade da inicialização da VM, além de armazenar chaves e segredos com segurança.

Observação

Esses atributos não têm efeito com o tipo de segurança Padrão padrão.

Além disso, as VMs confidenciais habilitam um novo esquema de criptografia de disco. Esse esquema protege todas as partições críticas do disco e torna o conteúdo do disco protegido acessível somente para a VM. Semelhante ao Server-Side Encryption, o padrão é Chaves Gerenciadas por Plataforma , mas você pode usar chaves gerenciadas pelo cliente . O uso de chaves de Customer-Managed para criptografia confidencial requer um Conjunto de Criptografia de Disco cujo tipo de criptografia é .ConfidentialVmEncryptedWithCustomerKey Confira Criptografia de Disco para obter mais informações.