Shielded VM

Google Cloud 上のセキュリティが強化された仮想マシン。

このプロダクトのドキュメントを見る

「Shielded VM の概要」のロゴ

概要

Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御により強化された、Google Cloud 上の仮想マシン(VM)です。Shielded VM を使用すれば、リモート攻撃、権限昇格、悪意のある内部関係者といった脅威から企業のワークロードを保護できます。Shielded VM には、高度なプラットフォーム セキュリティ機能として、セキュアブート、メジャード ブート、仮想トラステッド プラットフォーム モジュール(vTPM)、UEFI ファームウェア、整合性モニタリングなどが用意されています。

高度な脅威から即座に VM を保護する

高度な脅威から即座に VM を保護する

Shielded VM はわずか数回のクリックで有効になります。これにより、悪意を持ったプロジェクト関係者や悪意のあるゲスト ファームウェアといった脅威を防ぎ、カーネルモードまたはユーザーモードの脆弱性への攻撃を防御できます。

「ワークロードが信頼できる検証可能なものであることを確認する」のロゴ

ワークロードが信頼できる検証可能なものであることを確認する

Shielded VM は、セキュアブートとメジャード ブートを使用して、ブートレベルまたはカーネルレベルのマルウェアやルートキットから仮想マシンを保護します。また、vTPM を使用して VM の ID を検証するための仮想ルート オブ トラストを確立し、VM が指定されたプロジェクトやリージョンの一部であることを確認します。

「秘密情報の流出やリプレイを防御する」のロゴ

秘密情報の流出やリプレイを防御する

Shielded VM を使用すると、vTPM によって生成または保護されたシークレットは VM 内に封入され、整合性が検証された場合にのみ公開されます。

特長

セキュアブートとメジャード ブートで整合性の検証が可能

セキュアブートは、ブート シーケンスの早い段階で悪意のあるコードが読み込まれることを防ぎます。メジャード ブートは、ブートローダー、カーネル ドライバ、ブートドライバの整合性を確認して、VM に対する悪意のある変更を防ぎます。

vTPM による情報流出の防止

vTPM の技術を使用して、起動前と起動時のゲスト VM の整合性を検証します。vTPM は Trusted Computing Group の TPM 2.0 仕様と互換性があり、FIPS 140-2 L1 に準拠しています。vTPM はゲスト オペレーティング システム上で暗号鍵や秘密データを生成し、これらを安全に保存します。

信頼できる UEFI ファームウェア

信頼できるファームウェアは Unified Extended Firmware Interface(UEFI)2.3.1 をベースとしています。これは従来の BIOS サブシステムに代わるもので、UEFI セキュアブート機能を有効にします。

改ざん証明機能

Cloud LoggingCloud Monitoring の改ざん証明機能を使用することで、Shielded VM が整合性の取れた状態にあるかどうかがわかります。これらの整合性指標により、VM の「健全な」ベースラインと現在のランタイムの状態の差異を識別できます。

ライブ マイグレーションとパッチ適用

ホストシステムでソフトウェアやハードウェアの更新などのイベントが発生しても、仮想マシン インスタンスが停止することはありません。

IAM ポリシーと権限の定義

すべての新しい Compute Engine VM インスタンスで Shielded ディスク イメージが使用され、vTPM オプションと整合性モニタリング オプションが有効になるように、ポリシーと権限を設定できます。

既存の VM イメージのシールド

既存の VM を Google Cloud で動作する Shielded VM に変換することで、既存のイメージに検証可能な整合性と情報流出防止機能を追加できます。

技術リソース

チュートリアル、クイックスタート、レビューをご覧ください。

料金

Shielded VM は追加料金なしでご利用いただけます。

次のステップに進む

Google Cloud をご利用のお客様には、12 か月間有効の無料クレジット $300 分を差し上げます。

無料トライアル
開始にあたりサポートが必要な場合
信頼できるパートナーの活用