コンフィデンシャル、一般提供、オープンソースとは? それがMicrosoft Azure対応Canonical Ubuntu 22.04!
by Canonical on 10 February 2023
Canonicalの全チームを代表し、Microsoft AzureでUbuntu 22.04 Confidential VM(CVM)の一般提供を発表いたします!今回のCVMは、第3世代のAMD CPUに追加されたセキュリティ拡張機能Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)に対応するMicrosoft Azure DCasv5/ECasv5シリーズの一環です。
したがってUbuntu 22.04 CVMは、クラウドの特権システムソフトウェア(ハイパーバイザ、ホストOS、ファームウェア)を侵害しかねない強力な敵、あるいはVMに不正にアクセスできる悪質な、または侵害を受けたクラウドプロバイダー管理者からもパブリッククラウドのワークロードを守ります。
コンフィデンシャルコンピューティングとは、複数の関係者の協力を必要とする業界全体の取り組みです。ハードウェア側では、すでにシリコンプロバイダーがかなりのリソースをTrusted Execution Environment(TEE)の開発に投入しています。そのようなTEEを積極的に採用しているのがパブリッククラウドプロバイダー(PCP)です。PCPは、コンフィデンシャルワークロードをユーザーが簡単に実行できるよう、VM全体をそのままTEE内で実行する「シフト&リフト」への対応に力を注いでいます。これなら、開発者がコンフィデンシャルアプリのリファクタリングや書き直しをする必要はありません。ただし、ゲストオペレーティングシステムを最適化することで、ユーザーアプリがプラットフォームのハードウェアTEE機能を利用し、起動中や休止中のVMもしっかり保護するようにする必要があります。
ここ数カ月間、Canonical Ubuntuが取り組んでいるのがそれです。Microsoft Azureとの緊密な協力のおかげで、このたびAzureのUbuntu 22.04 CVMを使ってコンフィデンシャルパブリッククラウドワークロードを構築していただけるようになりました。
Ubuntu CVMの仕組み
Ubuntu CVMは、VMのライフサイクル全体にわたってセキュリティを確保することで強力なセキュリティ保証を実現します。
- 実行中:AMD SEV-SNPにより、ユーザーのVMのコードとデータはシステムメモリ内で処理される際に暗号化されます。暗号化には、CPUのメモリコントローラに組み込まれた最新のAES-128ハードウェア暗号化エンジンが利用されます。暗号化キーはAMDセキュアプロセッサーによってさらに保護され、管理されます。
- 休止中:ワークロード全体が、Ubuntuに強化されたフルディスク暗号化機能で暗号化されます。暗号化キー自体もVMの仮想ディスクに暗号化されて保存されます。それがインスタンスに紐付けられた仮想TPM(vTPM)にバインドされます。最後に、vTPM自体がゲストVMのアドレス空間の一部であり、AMD SEV-SNP拡張がVMインスタンス全体に提供するのと同じ実行中セキュリティ保証によって守られます。
- 起動中:VMを起動する前、プラットフォームは、OS、ファームウェア、プラットフォームのブート測定値の検証に使用可能なハードウェアにルートを持つ署名付き証明書を提供します。
今後の展望
ユーザーはUbuntu 22.04 CVMにより、多層防御アーキテクチャをさらに厚くし、Azureワークロードの攻撃対象領域を縮小することになります。Ubuntuはこれに関連する複雑なタスクを処理し、スムーズに新しいレベルのセキュリティを実現します。
すでにパブリッククラウドをお使いなら、コンフィデンシャルVMとしてVMを実行することにはメリットしかありません。セキュリティが心配でパブリッククラウドを使っていないのであれば、コンフィデンシャルコンピューティングの進歩によってリスク評価を再検討し、組織に最適な結論に達することができるでしょう。
Canonicalでは、コンフィデンシャルコンピューティングと個人情報を保護する技術こそ、未来のコンピューティングのデフォルトになると考えています。だからこそCanonical UbuntuのコンフィデンシャルVMは無償なのです。Azureでは、お使いのUbuntu CVMにいつでもCanonicalのUbuntu Proサービスを追加できます。これには10年間の長期セキュリティメンテナンス、イメージの認証と堅牢化、カーネルライブパッチ機能が含まれます。
Canonical Ubuntuのコンフィデンシャルコンピューティングはまだ始まったばかり!これからもCanonicalのポートフォリオ拡張に関する今後の発表にご期待ください。
その他のリソース
ニュースレターのサインアップ
関連記事
Ubuntu ProをNutanixのベアメタルKubernetesで提供
NutanixとCanonicalのパートナーシップ拡大によりコンテナ化されたワークロードの選択肢が増加 Enterprise Kubernetes®は、柔軟性の高いマルチアーキテクチャモデルへと進化しつつあります。AI/MLやデータ集約型のワークロードが膨大なハードウェアスループットを必要とする近年、組織はクラウドプラットフォームの安定性を維持しながら、ベアメタルのパフォーマンスを求めています。 このためNutanixとCanonicalは、このたび発表されたNKP Metalソリューションも含め、ベアメタルで実行するNKP(Nutanix Kubernetes Platform)インスタンスでもUbuntu Proを利用可能にしました。もともと2025年に発表されたパ […]
Ubuntu 26.04 LTSのセキュリティ最新情報
Ubuntu 26.04 LTSは、Canonicalにとって最もセキュリティを重視したLTSリリースです。単に機能を追加しただけでなく、システムのあらゆる層で同時にセキュリティの基準を引き上げ、全体的に強化しました。しかも既存の環境を壊したり、手動での介入が増えたりすることはありません。セキュリティの心臓部、つまりデフォルト設定に注力することで、CanonicalはUbuntuのセキュリティを新しい形で強化しました。この記事では、Ubuntu 26.04 LTSの新しいセキュリティ機能について概説します。 Ubuntu 26.04 LTS は、デスクトップ、サーバー、コンフィデンシャルVM、クラウドイメージ、エッジシステムでLinuxを運用する上で、今後10年間にわたっ […]
JammyからResoluteまで:Ubuntuのツールチェーンの進化
新しいツールチェーンのバージョン、devpack、開発体験を改善するワークフローをご紹介します。 Ubuntuのツールチェーンの進化は、単にGCC、LLVM、Pythonを提供することではありません。明確な目的を持つOpenJDKのバリアント、タスクに特化したdevpack、FIPS適合のツールチェーン、そしてsnap(新しい.NET snapやSnapcraftプラグインなど)の開発も含みます。このような改善により、これまで半日かかっていたセットアップが1〜2個のコマンドで済みます。これは、Ubuntu上でフレームワークやアプリケーションを開発する者にとって、まさに「摩擦のない」開発体験です。 このブログでは、Ubuntuの過去4年間のLTSリリースにおける変更点と今後 […]
