Google CloudでSNP VMを使い始める
by Canonical on 19 October 2023
SEV-SNPとは、AMDのEPYCプロセッサで利用できる新しいセキュリティ機能です。SEV-SNPは、Secure Encrypted Virtualization Secure Nested Pages(暗号化された安全な仮想化-ネストされた安全なページ)の略語です。SEV-SNPはファームウェアのコードを含むメモリページを暗号化することによってファームウェアの保護レベルを高めます。この結果、攻撃者がファームウェアにアクセスして攻撃を開始することが困難になります。
SEV-SNPの利点
SEV-SNPを組み込んだファームウェアをVMで使用すると、VMのセキュリティの向上、分離の強化、パフォーマンスの向上が可能となります。
- セキュリティの向上。SEV-SNPはファームウェアのコードを含むメモリページを暗号化します。この結果、攻撃者がファームウェアにアクセスして攻撃を開始することが困難になります。
- 分離の強化。SEV-SNPは、各VM専用のセキュアなメモリ空間を作ります。このため、ハイパーバイザーが侵害を受けても、VMが別のVMのメモリにアクセスすることはできません。
- パフォーマンスの向上。SEV-SNPは仮想化アプリケーションのパフォーマンスを向上させます。SEV-SNPによりハイパーバイザーがセキュリティ処理の一部をプロセッサにオフロードできるからです。
SEV-SNPとコンフィデンシャルコンピューティングの関係
コンフィデンシャルコンピューティングとは、ハードウェアベースのTrusted Execution Environment(TEE:信頼できる実行環境)で使用中のデータを保護することです。TEEとは、使用中のアプリケーションとデータの不正アクセスや変更を防止する、安全な分離された環境です。このセキュリティ基準はConfidential Computing Consortiumによって定義されています。エンドツーエンドの暗号化は次の3つの状態から構成されます。
- 保存時の暗号化は、保存中のデータを保護します。
- 転送中の暗号化は、データが2つの地点の間を移動するときにデータを保護します。
- 使用中の暗号化は、処理中のデータを保護します。
コンフィデンシャルコンピューティングはエンドツーエンドの暗号化の最終部分、つまり使用中の暗号化を提供します。
SEV-SNPは、データ返信やメモリの再マッピングなどハイパーバイザーベースの攻撃に対する保護を強化します。これらの保護により、安全で分離された実行環境が確立され、全体的なセキュリティが強化されます。
さらにSEV-SNPには、さまざまなVMの使用モデルに対応するオプションのセキュリティ拡張機能があります。割り込み動作に関わる保護も強化し、最近発見されたサイドチャネル攻撃に対する防御力を高めています。
Google CloudでSEV-SNP VMを利用するには
Google Cloudコンソールで、「Compute Engine」と「Create a Instance(インスタンスを作成)」を選択します。必ず「N2D」マシン(AMD EPYC)を選択してください。
「Boot disk(ブートディスク)」で、Ubuntu 22.04 LTS Pro Server(x86 / 64、amd64 jammy pro server)などのSEV-SNP互換オペレーティングシステムを選択します。
「Confidential VM(コンフィデンシャルVM)」サービスを有効化します。
「CREATE(作成)」をクリックします。SEV-SNP VMをご活用ください!
ニュースレターのサインアップ
関連記事
Ubuntu ProをNutanixのベアメタルKubernetesで提供
NutanixとCanonicalのパートナーシップ拡大によりコンテナ化されたワークロードの選択肢が増加 Enterprise Kubernetes®は、柔軟性の高いマルチアーキテクチャモデルへと進化しつつあります。AI/MLやデータ集約型のワークロードが膨大なハードウェアスループットを必要とする近年、組織はクラウドプラットフォームの安定性を維持しながら、ベアメタルのパフォーマンスを求めています。 このためNutanixとCanonicalは、このたび発表されたNKP Metalソリューションも含め、ベアメタルで実行するNKP(Nutanix Kubernetes Platform)インスタンスでもUbuntu Proを利用可能にしました。もともと2025年に発表されたパ […]
Ubuntu 26.04 LTSのセキュリティ最新情報
Ubuntu 26.04 LTSは、Canonicalにとって最もセキュリティを重視したLTSリリースです。単に機能を追加しただけでなく、システムのあらゆる層で同時にセキュリティの基準を引き上げ、全体的に強化しました。しかも既存の環境を壊したり、手動での介入が増えたりすることはありません。セキュリティの心臓部、つまりデフォルト設定に注力することで、CanonicalはUbuntuのセキュリティを新しい形で強化しました。この記事では、Ubuntu 26.04 LTSの新しいセキュリティ機能について概説します。 Ubuntu 26.04 LTS は、デスクトップ、サーバー、コンフィデンシャルVM、クラウドイメージ、エッジシステムでLinuxを運用する上で、今後10年間にわたっ […]
JammyからResoluteまで:Ubuntuのツールチェーンの進化
新しいツールチェーンのバージョン、devpack、開発体験を改善するワークフローをご紹介します。 Ubuntuのツールチェーンの進化は、単にGCC、LLVM、Pythonを提供することではありません。明確な目的を持つOpenJDKのバリアント、タスクに特化したdevpack、FIPS適合のツールチェーン、そしてsnap(新しい.NET snapやSnapcraftプラグインなど)の開発も含みます。このような改善により、これまで半日かかっていたセットアップが1〜2個のコマンドで済みます。これは、Ubuntu上でフレームワークやアプリケーションを開発する者にとって、まさに「摩擦のない」開発体験です。 このブログでは、Ubuntuの過去4年間のLTSリリースにおける変更点と今後 […]
