ShieldedVM이란 무엇입니까?
사용법
사용하기 쉽고, 해당 OS 이미지를 선택하고 Shielded VM을 활성화하고 시작하기 만하면됩니다. 옵션 비용은 들지 않습니다.
2019년 12월 2일 현재 대응하고 있는 이미지는 이하와 같다.
이미지
GCP Console에서 부팅하는 경우 Security 탭에서 Shielded VM 기능을 활성화합니다.
Shielded VM을 활성화하면 일반 BIOS가 아닌 UEFI를 통해 부팅하게 되므로
dmesg
의 실행 결과에도 UEFI를 통해 부팅했다는 메시지가 출력됩니다.[ 0.000000] efi: EFI v2.70 by EDK II
[ 0.000000] efi: ACPI=0x259fa000 ACPI 2.0=0x259fa014 SMBIOS=0x259cd000 MEMATTR=0x24d0c018 TPMEventLog=0x2406d018
[ 0.000000] secureboot: Secure boot enabled
Shielded VM의 목적
Shielded VM의 목적은 크게 나누면
두 가지입니다.
전자는 Secure Boot, Measured Boot에 의해 컴퍼넌트의 위조를 검지하는 것으로, 루트 킷등에 의한 부트 로더나 OS등에의 공격을 방지할 수 있습니다. 여기는 대응하는 OS 이미지에서 설정을 활성화하는 것만으로 이용할 수 있습니다.
후자는 TPM에 저장된 Endorsement Key라는 키 쌍을 사용합니다. 이 Endorsement Key는 TPM 마다 고유해, 비공개키는 꺼낼 수 없습니다만, 공개키는 GetShieldedInstanceIdentity API 그리고 취득 가능합니다.
리퀘스터는 비공개 키로 리퀘스트를 서명해, API 서버에서는 GetShieldedInstanceIdentity로 취득한 공개키로 검증하는 것으로, 리퀘스터가 정당한 서버인지 검증할 수 있습니다.
요약
Shielded VM은 설정의 수고도 적고, 서버의 맬웨어 대책의 하나로서 유효하고, 마이크로 서비스간의 공격 대책으로서도 이용할 수 있으므로, 꼭 유효하게 해 봅시다.
Reference
이 문제에 관하여(ShieldedVM이란 무엇입니까?), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/lighthawk/items/f67cfb0a3e694e200a8e
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(ShieldedVM이란 무엇입니까?), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/lighthawk/items/f67cfb0a3e694e200a8e텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)