Configuração de Segurança da Máquina Virtual

  • Artigo

O CycleCloud 8.5 suporta a criação de VMs com um tipo de segurança de Lançamento Fidedigno ou Confidencial.

Nota

A utilização destas funcionalidades pode ter algumas limitações, que incluem não suportar cópias de segurança, discos geridos e discos de SO efémeros. Além disso, necessitam de imagens e tamanhos de VM específicos. Veja a documentação acima para obter mais informações.

Estas funcionalidades podem ser modificadas no formulário de cluster ou definidas diretamente no modelo de cluster.

O atributo principal que o ativa é SecurityType, que pode ser TrustedLaunch ou ConfidentialVM. Por exemplo, para que todas as VMs no cluster utilizem a Iniciação Fidedigna por predefinição, adicione-a ao seu modelo:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

A segurança padrão é a predefinição, pelo que não precisa de ser especificada. Se deu um valor para SecurityType e importou o cluster, pode simplesmente comentar ou remover essa linha e importar novamente o cluster para remover o valor. Se definir um valor em defaults e quiser utilizar a segurança Standard apenas para algum nó específico, pode substituir o valor por undefined() (tenha em atenção a utilização de := para ativar a análise rigorosa do valor):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

A utilização de VMs Fidedignas ou Confidenciais permite outras funcionalidades de segurança, ambas predefinidas como verdadeiras:

  • EnableSecureBoot=true: utiliza o Arranque Seguro, que ajuda a proteger as VMs contra kits de arranque, rootkits e software maligno ao nível do kernel.

  • EnableVTPM=true: utiliza o Virtual Trusted Platform Module (vTPM), que está em conformidade com o TPM2.0 e valida a integridade do arranque da VM, para além de armazenar chaves e segredos de forma segura.

Nota

Estes atributos não têm qualquer efeito com o tipo de segurança Standard predefinido.

Além disso, as VMs Confidenciais ativam um novo esquema de encriptação de disco. Este esquema protege todas as partições críticas do disco e torna o conteúdo do disco protegido acessível apenas à VM. Semelhante à Encriptação Server-Side, a predefinição é Chaves Geridas pela Plataforma , mas pode utilizar as Chaves Geridas pelo Cliente . A utilização de chaves de Customer-Managed para encriptação confidencial requer um Conjunto de Encriptação de Discos cujo tipo de encriptação é ConfidentialVmEncryptedWithCustomerKey. Veja Encriptação de Disco para obter mais informações.