Shielded VM

Google Cloud 上のセキュリティが強化された仮想マシン。

Shielded VM は Compute Engine VM インスタンスの整合性を検証できます。インスタンスがブートレベルまたはカーネルレベルのマルウェアやルートキットによって改ざんされていないことを確認できます。

機能

高度な脅威から VM を保護する

Shielded VM はわずか数回のクリックで有効になります。これにより、悪意を持ったプロジェクト関係者や悪意のあるゲスト ファームウェアといった脅威を防ぎ、カーネルモードまたはユーザーモードの脆弱性への攻撃を防御できます。

ワークロードが信頼できる検証可能なものであることを確認する

Shielded VM は、セキュアブートとメジャード ブートを使用して、ブートレベルまたはカーネルレベルの不正ソフトウェアやルートキットから仮想マシンを保護します。また、Shielded VM は、vTPM を使用して VM の ID を検証するための仮想ルート オブ トラストを提供し、VM が指定されたプロジェクトやリージョンの一部であることを確認します。

秘密情報の流出やリプレイを防御する

Shielded VM を使用すると、vTPM によって生成または保護されたシークレットは VM 内に封入され、整合性が検証された場合にのみ公開されます。

セキュアブートとメジャーブートで整合性の検証が可能

セキュアブートは、ブート シーケンスの早い段階で悪意のあるコードが読み込まれることを防ぎます。メジャード ブートは、ブートローダー、カーネル ドライバ、ブートドライバの整合性を確認して、VM に対する悪意のある変更を防ぎます。

vTPM による情報流出の防止

vTPM の技術を使用して、起動前と起動時のゲスト VM の整合性を検証します。vTPM は Trusted Computing Group の TPM 2.0 仕様と互換性があり、FIPS 140-2 L1 に準拠しています。vTPM はゲスト オペレーティング システム上で暗号鍵や秘密データを生成して安全に保存します。

信頼できる UEFI ファームウェア

信頼できるファームウェアは Unified Extensible Firmware Interface(UEFI)2.3.1 をベースとしています。これは従来の BIOS サブシステムに代わるもので、UEFI セキュアブート機能を有効にします。

改ざん証明機能

Cloud LoggingCloud Monitoring の改ざん証明機能を使用することで、Shielded VM が整合性の取れた状態にあるかどうかがわかります。これらの整合性指標により、VM の「健全な」ベースラインと現在のランタイムの状態の差異を識別できます。

ライブ マイグレーションとパッチ適用

ホストシステムでソフトウェアやハードウェアの更新などのイベントが発生しても、仮想マシン インスタンスが停止することはありません。

IAM ポリシーと権限の定義

すべての新しい Compute Engine インスタンスで Shielded VM ディスク イメージが使用され、vTPM オプションと整合性モニタリング オプションが有効になるように、ポリシーと権限を設定できます。

既存の VM イメージのシールド

既存の VM を Google Cloud で動作する Shielded VM に変換することで、既存のイメージに検証可能な整合性と情報流出防止機能を追加できます。

仕組み

Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御によって強化された仮想マシンです。Shielded VM には、高度なプラットフォーム セキュリティ機能として、セキュアブート、メジャード ブート、仮想トラステッド プラットフォーム モジュール(vTPM)、UEFI ファームウェア、整合性モニタリングなどが用意されています。

Jasika Bawa 氏(Shield Computing)

一般的な使用例

VM を保護する

VM のセキュリティの強化


スタートガイド

Shielded VM は簡単に使い始めることができます。Google Cloud コンソールで新しい VM インスタンスまたはインスタンス テンプレートを作成するときに、[Shielded VM の機能を持つイメージを表示する] チェックボックスをオンにします。選択します。

次に、[セキュリティ] タブで Shielded VM の構成オプションを調整します。これにより、セキュアブート、vTPM、整合性モニタリングを有効または無効にするオプションなど、Shielded VM の機能をより詳細に制御できます。デフォルトでは、vTPM と整合性モニタリングは有効になっています。セキュアブートには明示的なオプトインが必要です。

ぜひお試しください
Shielded VM の機能を持つイメージを表示する

    組織の VM インスタンスをプログラマティックに一元管理したいとお考えの方向けに、Shielded VM 用に新しい組織のポリシーをご利用いただけるようになりました。

    VM のセキュリティの強化


    スタートガイド

    Shielded VM は簡単に使い始めることができます。Google Cloud コンソールで新しい VM インスタンスまたはインスタンス テンプレートを作成するときに、[Shielded VM の機能を持つイメージを表示する] チェックボックスをオンにします。選択します。

    次に、[セキュリティ] タブで Shielded VM の構成オプションを調整します。これにより、セキュアブート、vTPM、整合性モニタリングを有効または無効にするオプションなど、Shielded VM の機能をより詳細に制御できます。デフォルトでは、vTPM と整合性モニタリングは有効になっています。セキュアブートには明示的なオプトインが必要です。

    ぜひお試しください
    Shielded VM の機能を持つイメージを表示する

      組織の VM インスタンスをプログラマティックに一元管理したいとお考えの方向けに、Shielded VM 用に新しい組織のポリシーをご利用いただけるようになりました。

      料金

      Shielded VM の料金Shielded VM は追加料金なしでご利用いただけます。
      サービス説明料金

      Shielded VM

      Google Cloud コンソールで Shielded VM オプションを有効にします。

      無料

      Shielded VM の料金

      Shielded VM は追加料金なしでご利用いただけます。

      Shielded VM

      説明

      Google Cloud コンソールで Shielded VM オプションを有効にします。

      料金

      無料

      次のステップ

      次のプロジェクトを開始してアカウントを管理します。

      ドキュメントを見る

      開始にあたりサポートが必要な場合

      信頼できるパートナーと連携する

      ヒントとベスト プラクティスを入手する

      Google Cloud
      • ‪English‬
      • ‪Deutsch‬
      • ‪Español‬
      • ‪Español (Latinoamérica)‬
      • ‪Français‬
      • ‪Indonesia‬
      • ‪Italiano‬
      • ‪Português (Brasil)‬
      • ‪简体中文‬
      • ‪繁體中文‬
      • ‪日本語‬
      • ‪한국어‬
      コンソール
      • Google Cloud プロダクト
      • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
      Google Cloud