Shielded VM

Google Cloud Platform 上の強化された仮想マシン。
概要

概要

Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御により強化された Google Cloud Platform 上の仮想マシン(VM)です。Shielded VMs を使用することで、リモート攻撃、権限エスカレーション、悪意のある内部関係者といった脅威から企業のワークロードを保護できます。Shielded VM には、高度なプラットフォーム セキュリティ機能として、セキュアブート、メジャード ブート、仮想トラステッド プラットフォーム モジュール(vTPM)、UEFI ファームウェア、整合性モニタリングなどが用意されています。

高度な脅威から即座に VM を保護する

Shielded VM はわずか数回のクリックで有効になります。これにより、悪意を持ったプロジェクト関係者や悪意のあるゲスト ファームウェアといった脅威を防ぎ、カーネルモードまたはユーザーモードの脆弱性への攻撃を防御できます。

ワークロードが信頼できる検証可能なものであることを確認する

Shielded VM は、セキュアブートとメジャード ブートを使用して、ブートレベルまたはカーネルレベルの不正ソフトウェアやルートキットから仮想マシンを保護します。また、vTPM を使用して VM の ID を検証するための仮想ルート オブ トラストを確立し、VM が特定のプロジェクトやリージョンの一部であることを確認します。

秘密情報の流出やリプレイを防御する

Shielded VM を使用すると、vTPM によって生成または保護されたシークレットは VM 内に封入され、整合性が検証された場合にのみ公開されます。

Shielded VM の機能

セキュアブートとメジャード ブートで整合性の検証が可能

セキュアブートは、ブート シーケンスの早い段階で悪意のあるコードが読み込まれることを防ぎます。メジャード ブートは、ブートローダー、カーネル ドライバ、ブートドライバの整合性を確認して、VM に対する悪意のある変更を防ぎます。

vTPM による情報流出の防止

vTPM の技術を使用して、起動前と起動時のゲスト VM の整合性を検証します。vTPM は Trusted Computing Group の TPM 2.0 仕様と互換性があり、FIPS 140-2 L1 に準拠しています。vTPM はゲスト オペレーティング システム上で暗号鍵や秘密データを生成して安全に保存します。

信頼できる UEFI ファームウェア

信頼できるファームウェアは Unified Extended Firmware Interface(UEFI)2.3.1 をベースとしています。これは従来の BIOS サブシステムに代わるもので、UEFI セキュアブート機能を有効にします。

改ざん証明機能

Stackdriver LoggingStackdriver Monitoring の改ざん証明機能を使用することで、Shielded VM が整合性の取れた状態にあるかどうかがわかります。これらの整合性指標により、VM の「健全な」ベースラインと現在のランタイムの状態の差異を識別できます。

ライブ マイグレーションとパッチ適用

ホストシステムでソフトウェアやハードウェアの更新などのイベントが発生しても、仮想マシン インスタンスが停止することはありません。

IAM ポリシーと権限の定義

すべての新しい Compute Engine VM インスタンスで Shielded ディスク イメージが使用され、vTPM オプションと整合性モニタリング オプションが有効になるように、ポリシーと権限を設定できます。

既存の VM イメージのシールド

既存の VM を Google Cloud Platform で動作する Shielded VM に変換することで、既存のイメージに検証可能な整合性と情報流出防止機能を追加できます。

技術リソース

チュートリアル、クイックスタート、レビューをご覧ください。

Shielded VM の料金

Shielded VM は追加料金なしでご利用いただけます。

Google Cloud

使ってみる

無料で体験

GCP を初めてご利用の場合、あらゆる GCP プロダクトを $300 相当の無料クレジットでお試しいただけます。

さらにサポートが必要な場合

Google のエキスパートが、適切なソリューションの構築や、お客様のニーズに合ったパートナーを見つけるお手伝いをいたします。