コンフィデンシャル、一般提供、オープンソースとは? それがMicrosoft Azure対応Canonical Ubuntu 22.04!
by Canonical on 10 February 2023
Canonicalの全チームを代表し、Microsoft AzureでUbuntu 22.04 Confidential VM(CVM)の一般提供を発表いたします!今回のCVMは、第3世代のAMD CPUに追加されたセキュリティ拡張機能Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)に対応するMicrosoft Azure DCasv5/ECasv5シリーズの一環です。
したがってUbuntu 22.04 CVMは、クラウドの特権システムソフトウェア(ハイパーバイザ、ホストOS、ファームウェア)を侵害しかねない強力な敵、あるいはVMに不正にアクセスできる悪質な、または侵害を受けたクラウドプロバイダー管理者からもパブリッククラウドのワークロードを守ります。
コンフィデンシャルコンピューティングとは、複数の関係者の協力を必要とする業界全体の取り組みです。ハードウェア側では、すでにシリコンプロバイダーがかなりのリソースをTrusted Execution Environment(TEE)の開発に投入しています。そのようなTEEを積極的に採用しているのがパブリッククラウドプロバイダー(PCP)です。PCPは、コンフィデンシャルワークロードをユーザーが簡単に実行できるよう、VM全体をそのままTEE内で実行する「シフト&リフト」への対応に力を注いでいます。これなら、開発者がコンフィデンシャルアプリのリファクタリングや書き直しをする必要はありません。ただし、ゲストオペレーティングシステムを最適化することで、ユーザーアプリがプラットフォームのハードウェアTEE機能を利用し、起動中や休止中のVMもしっかり保護するようにする必要があります。
ここ数カ月間、Canonical Ubuntuが取り組んでいるのがそれです。Microsoft Azureとの緊密な協力のおかげで、このたびAzureのUbuntu 22.04 CVMを使ってコンフィデンシャルパブリッククラウドワークロードを構築していただけるようになりました。
Ubuntu CVMの仕組み
Ubuntu CVMは、VMのライフサイクル全体にわたってセキュリティを確保することで強力なセキュリティ保証を実現します。
- 実行中:AMD SEV-SNPにより、ユーザーのVMのコードとデータはシステムメモリ内で処理される際に暗号化されます。暗号化には、CPUのメモリコントローラに組み込まれた最新のAES-128ハードウェア暗号化エンジンが利用されます。暗号化キーはAMDセキュアプロセッサーによってさらに保護され、管理されます。
- 休止中:ワークロード全体が、Ubuntuに強化されたフルディスク暗号化機能で暗号化されます。暗号化キー自体もVMの仮想ディスクに暗号化されて保存されます。それがインスタンスに紐付けられた仮想TPM(vTPM)にバインドされます。最後に、vTPM自体がゲストVMのアドレス空間の一部であり、AMD SEV-SNP拡張がVMインスタンス全体に提供するのと同じ実行中セキュリティ保証によって守られます。
- 起動中:VMを起動する前、プラットフォームは、OS、ファームウェア、プラットフォームのブート測定値の検証に使用可能なハードウェアにルートを持つ署名付き証明書を提供します。
今後の展望
ユーザーはUbuntu 22.04 CVMにより、多層防御アーキテクチャをさらに厚くし、Azureワークロードの攻撃対象領域を縮小することになります。Ubuntuはこれに関連する複雑なタスクを処理し、スムーズに新しいレベルのセキュリティを実現します。
すでにパブリッククラウドをお使いなら、コンフィデンシャルVMとしてVMを実行することにはメリットしかありません。セキュリティが心配でパブリッククラウドを使っていないのであれば、コンフィデンシャルコンピューティングの進歩によってリスク評価を再検討し、組織に最適な結論に達することができるでしょう。
Canonicalでは、コンフィデンシャルコンピューティングと個人情報を保護する技術こそ、未来のコンピューティングのデフォルトになると考えています。だからこそCanonical UbuntuのコンフィデンシャルVMは無償なのです。Azureでは、お使いのUbuntu CVMにいつでもCanonicalのUbuntu Proサービスを追加できます。これには10年間の長期セキュリティメンテナンス、イメージの認証と堅牢化、カーネルライブパッチ機能が含まれます。
Canonical Ubuntuのコンフィデンシャルコンピューティングはまだ始まったばかり!これからもCanonicalのポートフォリオ拡張に関する今後の発表にご期待ください。
その他のリソース
ニュースレターのサインアップ
関連記事
バックポートでパッケージのサポート終了を回避
2025年7月、Gitは危険度の高い脆弱性「CVE-2025-48384」の報告を受けました。攻撃者がこの脆弱性を悪用すれば、リポジトリのクローンを作成する際に任意のコードを実行できます。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この脆弱性の実際の悪用事例を確認後、Known Exploited Vulnerabilities(KEV、悪用が確認されている脆弱性)のカタログに追加しました。 この脆弱性の公開時に標準サポート終了を過ぎていたユーザーにとって、選択肢は2つでした。Ubuntu Proのサブスクリプションでセキュリティパッチを入手するか、開発者の作業環境やCI/CDインフラに既知のリモートコード実行(RCE)脆弱性を抱えたまま […]
Canonical、Ubuntu Pro for WSLを発表
Windows環境におけるUbuntu 24.04 LTSのWSLインスタンスにセキュリティメンテナンスとエンタープライズサポートを一括して提供。包括的なシステム管理機能も利用できるサブスクリプションサービス。 Canonicalは本日、Ubuntu Pro for WSLの一般提供を発表しました。Microsoftストアからインストール、ソースコードとベータ版はGitHubからダウンロード可能です。 「CanonicalとMicrosoftは、緊密なパートナーシップを通じてWSLの各種機能を構築しています。この取り組みは、WSLを利用して実運用向けのLinuxソリューションを構築する企業の開発者に有益です。」 Microsoft、WSLプロダクトマネージャー、Craig […]
