ShieldedVM이란 무엇입니까?

2061 단어 gcpUEFIgce
GCP에는 Shielded VM이라는 기능이 있습니다. 별로 사용하고 있다는 이야기는 듣지 않습니다만, 간단하게 사용할 수 있어 시큐러티 강화를 할 수 있는 기능입니다.

사용법



사용하기 쉽고, 해당 OS 이미지를 선택하고 Shielded VM을 활성화하고 시작하기 만하면됩니다. 옵션 비용은 들지 않습니다.
2019년 12월 2일 현재 대응하고 있는 이미지는 이하와 같다.
  • CentOS 7
  • RHEL 7
  • Container Optimized OS 6.9, 7.3, 7.7, dev, beta, stable
  • 우분투 18.04
  • Windows Server 2012r2, 2016, 1803, 1809, 2019

  • 이미지

    GCP Console에서 부팅하는 경우 Security 탭에서 Shielded VM 기능을 활성화합니다.


    Shielded VM을 활성화하면 일반 BIOS가 아닌 UEFI를 통해 부팅하게 되므로 dmesg 의 실행 결과에도 UEFI를 통해 부팅했다는 메시지가 출력됩니다.
    [    0.000000] efi: EFI v2.70 by EDK II
    [    0.000000] efi:  ACPI=0x259fa000  ACPI 2.0=0x259fa014  SMBIOS=0x259cd000  MEMATTR=0x24d0c018  TPMEventLog=0x2406d018
    [    0.000000] secureboot: Secure boot enabled
    

    Shielded VM의 목적



    Shielded VM의 목적은 크게 나누면
  • 각 인스턴스의 부트 로더 및 OS 변조 탐지, 시스템 무결성 확인
  • API 요청 등이 자신의 인스턴스에서 수행되었는지 확인

  • 두 가지입니다.

    전자는 Secure Boot, Measured Boot에 의해 컴퍼넌트의 위조를 검지하는 것으로, 루트 킷등에 의한 부트 로더나 OS등에의 공격을 방지할 수 있습니다. 여기는 대응하는 OS 이미지에서 설정을 활성화하는 것만으로 이용할 수 있습니다.

    후자는 TPM에 저장된 Endorsement Key라는 키 쌍을 사용합니다. 이 Endorsement Key는 TPM 마다 고유해, 비공개키는 꺼낼 수 없습니다만, 공개키는 GetShieldedInstanceIdentity API 그리고 취득 가능합니다.

    리퀘스터는 비공개 키로 리퀘스트를 서명해, API 서버에서는 GetShieldedInstanceIdentity로 취득한 공개키로 검증하는 것으로, 리퀘스터가 정당한 서버인지 검증할 수 있습니다.

    요약



    Shielded VM은 설정의 수고도 적고, 서버의 맬웨어 대책의 하나로서 유효하고, 마이크로 서비스간의 공격 대책으로서도 이용할 수 있으므로, 꼭 유효하게 해 봅시다.

    좋은 웹페이지 즐겨찾기