Shielded VM
概要
高度な脅威から即座に VM を保護する
Shielded VM はわずか数回のクリックで有効になります。これにより、悪意を持ったプロジェクト関係者や悪意のあるゲスト ファームウェアといった脅威を防ぎ、カーネルモードやユーザーモードの脆弱性への攻撃を防御できます。
ワークロードが信頼できる検証可能なものであることを確認する
Shielded VM は、セキュアブートとメジャード ブートを使用して、ブートレベルまたはカーネルレベルのマルウェアやルートキットから仮想マシンを保護します。また、vTPM を使用して VM の ID を検証するための仮想ルート オブ トラストを確立し、VM が指定されたプロジェクトやリージョンの一部であることを確認します。
秘密情報の流出やリプレイを防御する
Shielded VM を使用すると、vTPM によって生成または保護されたシークレットは VM 内に密閉され、整合性が検証された場合にのみ公開されます。
機能
セキュアブートとメジャーブートで整合性の検証が可能
セキュアブートは、ブート シーケンスの早い段階で悪意のあるコードが読み込まれることを防ぎます。メジャード ブートは、ブートローダー、カーネル ドライバ、ブートドライバの整合性を確認して、VM に対する悪意のある変更を防ぎます。
vTPM による情報流出の防止
vTPM の技術を使用して、起動前と起動時のゲスト VM の整合性を検証します。vTPM は Trusted Computing Group の TPM 2.0 仕様と互換性があり、FIPS 140-2 L1 に準拠しています。vTPM はゲスト オペレーティング システム上で暗号鍵や秘密データを生成し、これらを安全に保存します。
信頼できる UEFI ファームウェア
信頼できるファームウェアは Unified Extended Firmware Interface(UEFI)2.3.1 をベースとしています。これは従来の BIOS サブシステムに代わるもので、UEFI セキュアブート機能を有効にします。
改ざん証明機能
Cloud Logging と Cloud Monitoring の改ざん証明機能を使用することで、Shielded VM が整合性の取れた状態にあるかどうかがわかります。これらの整合性指標により、VM の「健全な」ベースラインと現在のランタイムの状態の差異を識別できます。
ライブ マイグレーションとパッチ適用
ホストシステムでソフトウェアやハードウェアの更新などのイベントが発生しても、仮想マシン インスタンスが停止することはありません。
IAM ポリシーと権限の定義
すべての新しい Compute Engine インスタンスで Shielded VM ディスク イメージが使用され、vTPM オプションと整合性モニタリング オプションが有効になるように、ポリシーと権限を設定できます。
既存の VM イメージのシールド
既存の VM を Google Cloud で動作する Shielded VM に変換することで、既存のイメージに検証可能な整合性と情報流出防止機能を追加できます。
技術リソース
料金
Shielded VM は追加料金なしでご利用いただけます。
$300 分の無料クレジットと 20 種類以上の Always Free プロダクトを活用して Google Cloud で構築を開始しましょう。
プロジェクトを開始してインタラクティブなチュートリアルを体験し、アカウントを管理しましょう。