Shielded VM は Compute Engine VM インスタンスの整合性を検証できます。インスタンスがブートレベルまたはカーネルレベルのマルウェアやルートキットによって改ざんされていないことを確認できます。
機能
Shielded VM はわずか数回のクリックで有効になります。これにより、悪意を持ったプロジェクト関係者や悪意のあるゲスト ファームウェアといった脅威を防ぎ、カーネルモードまたはユーザーモードの脆弱性への攻撃を防御できます。
Shielded VM は、セキュアブートとメジャード ブートを使用して、ブートレベルまたはカーネルレベルの不正ソフトウェアやルートキットから仮想マシンを保護します。また、Shielded VM は、vTPM を使用して VM の ID を検証するための仮想ルート オブ トラストを提供し、VM が指定されたプロジェクトやリージョンの一部であることを確認します。
Shielded VM を使用すると、vTPM によって生成または保護されたシークレットは VM 内に封入され、整合性が検証された場合にのみ公開されます。
セキュアブートは、ブート シーケンスの早い段階で悪意のあるコードが読み込まれることを防ぎます。メジャード ブートは、ブートローダー、カーネル ドライバ、ブートドライバの整合性を確認して、VM に対する悪意のある変更を防ぎます。
vTPM の技術を使用して、起動前と起動時のゲスト VM の整合性を検証します。vTPM は Trusted Computing Group の TPM 2.0 仕様と互換性があり、FIPS 140-2 L1 に準拠しています。vTPM はゲスト オペレーティング システム上で暗号鍵や秘密データを生成して安全に保存します。
信頼できるファームウェアは Unified Extensible Firmware Interface(UEFI)2.3.1 をベースとしています。これは従来の BIOS サブシステムに代わるもので、UEFI セキュアブート機能を有効にします。
Cloud Logging と Cloud Monitoring の改ざん証明機能を使用することで、Shielded VM が整合性の取れた状態にあるかどうかがわかります。これらの整合性指標により、VM の「健全な」ベースラインと現在のランタイムの状態の差異を識別できます。
ホストシステムでソフトウェアやハードウェアの更新などのイベントが発生しても、仮想マシン インスタンスが停止することはありません。
すべての新しい Compute Engine インスタンスで Shielded VM ディスク イメージが使用され、vTPM オプションと整合性モニタリング オプションが有効になるように、ポリシーと権限を設定できます。
既存の VM を Google Cloud で動作する Shielded VM に変換することで、既存のイメージに検証可能な整合性と情報流出防止機能を追加できます。
仕組み
Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御によって強化された仮想マシンです。Shielded VM には、高度なプラットフォーム セキュリティ機能として、セキュアブート、メジャード ブート、仮想トラステッド プラットフォーム モジュール(vTPM)、UEFI ファームウェア、整合性モニタリングなどが用意されています。
一般的な使用例
スタートガイド
Shielded VM は簡単に使い始めることができます。Google Cloud コンソールで新しい VM インスタンスまたはインスタンス テンプレートを作成するときに、[Shielded VM の機能を持つイメージを表示する] チェックボックスをオンにします。選択します。
次に、[セキュリティ] タブで Shielded VM の構成オプションを調整します。これにより、セキュアブート、vTPM、整合性モニタリングを有効または無効にするオプションなど、Shielded VM の機能をより詳細に制御できます。デフォルトでは、vTPM と整合性モニタリングは有効になっています。セキュアブートには明示的なオプトインが必要です。
組織の VM インスタンスをプログラマティックに一元管理したいとお考えの方向けに、Shielded VM 用に新しい組織のポリシーをご利用いただけるようになりました。
スタートガイド
Shielded VM は簡単に使い始めることができます。Google Cloud コンソールで新しい VM インスタンスまたはインスタンス テンプレートを作成するときに、[Shielded VM の機能を持つイメージを表示する] チェックボックスをオンにします。選択します。
次に、[セキュリティ] タブで Shielded VM の構成オプションを調整します。これにより、セキュアブート、vTPM、整合性モニタリングを有効または無効にするオプションなど、Shielded VM の機能をより詳細に制御できます。デフォルトでは、vTPM と整合性モニタリングは有効になっています。セキュアブートには明示的なオプトインが必要です。
組織の VM インスタンスをプログラマティックに一元管理したいとお考えの方向けに、Shielded VM 用に新しい組織のポリシーをご利用いただけるようになりました。
料金
Shielded VM の料金 | Shielded VM は追加料金なしでご利用いただけます。 | |
---|---|---|
サービス | 説明 | 料金 |
Shielded VM | Google Cloud コンソールで Shielded VM オプションを有効にします。 | 無料 |
Shielded VM の料金
Shielded VM は追加料金なしでご利用いただけます。
Shielded VM
Google Cloud コンソールで Shielded VM オプションを有効にします。
無料