GCP에는 Shielded VM이라는 기능이 있습니다. 별로 사용하고 있다는 이야기는 듣지 않습니다만, 간단하게 사용할 수 있어 시큐러티 강화를 할 수 있는 기능입니다.

사용법

사용하기 쉽고, 해당 OS 이미지를 선택하고 Shielded VM을 활성화하고 시작하기 만하면됩니다. 옵션 비용은 들지 않습니다.
2019년 12월 2일 현재 대응하고 있는 이미지는 이하와 같다.

CentOS 7

RHEL 7

Container Optimized OS 6.9, 7.3, 7.7, dev, beta, stable

우분투 18.04

Windows Server 2012r2, 2016, 1803, 1809, 2019

이미지

GCP Console에서 부팅하는 경우 Security 탭에서 Shielded VM 기능을 활성화합니다.


Shielded VM을 활성화하면 일반 BIOS가 아닌 UEFI를 통해 부팅하게 되므로 dmesg 의 실행 결과에도 UEFI를 통해 부팅했다는 메시지가 출력됩니다.

[    0.000000] efi: EFI v2.70 by EDK II
[    0.000000] efi:  ACPI=0x259fa000  ACPI 2.0=0x259fa014  SMBIOS=0x259cd000  MEMATTR=0x24d0c018  TPMEventLog=0x2406d018
[    0.000000] secureboot: Secure boot enabled

Shielded VM의 목적

Shielded VM의 목적은 크게 나누면

각 인스턴스의 부트 로더 및 OS 변조 탐지, 시스템 무결성 확인

API 요청 등이 자신의 인스턴스에서 수행되었는지 확인

두 가지입니다.

전자는 Secure Boot, Measured Boot에 의해 컴퍼넌트의 위조를 검지하는 것으로, 루트 킷등에 의한 부트 로더나 OS등에의 공격을 방지할 수 있습니다. 여기는 대응하는 OS 이미지에서 설정을 활성화하는 것만으로 이용할 수 있습니다.

후자는 TPM에 저장된 Endorsement Key라는 키 쌍을 사용합니다. 이 Endorsement Key는 TPM 마다 고유해, 비공개키는 꺼낼 수 없습니다만, 공개키는 GetShieldedInstanceIdentity API 그리고 취득 가능합니다.

리퀘스터는 비공개 키로 리퀘스트를 서명해, API 서버에서는 GetShieldedInstanceIdentity로 취득한 공개키로 검증하는 것으로, 리퀘스터가 정당한 서버인지 검증할 수 있습니다.

요약

Shielded VM은 설정의 수고도 적고, 서버의 맬웨어 대책의 하나로서 유효하고, 마이크로 서비스간의 공격 대책으로서도 이용할 수 있으므로, 꼭 유효하게 해 봅시다.