Google、UEFIと「Shielded VM」を「Google Compute Engine」のデフォルトにセキュリティが強化されたVMの利用が容易に

Googleは、Google Cloudエコシステムの安全性とセキュリティの一層の向上を目指し、UEFIと「Shielded VM」を「Google Compute Engine」のデフォルトとした。

» 2020年06月03日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Googleは2020年4月28日(米国時間)、Unified Extensible Firmware Interface(UEFI)と「Shielded VM」を「Google Compute Engine」のデフォルトとしたことを発表した。Google Cloudエコシステムの安全性とセキュリティのさらなる向上を目的としており、追加料金なしで利用できる。

 Shielded VMは、セキュリティが強化された仮想マシン(VM)インスタンスであり、2019年4月に一般提供が開始された。VMのブート時に、検証されたブートローダとカーネルが動作していることを確認する。この確認はUEFIファームウェアを使用して行われる。

 Googleによると、Shielded VMとUEFIがGoogle Compute Engineのデフォルトとなることで、サポートされている全てのVMインスタンスにセキュリティ防御機能を提供し、以下のような脅威からの保護を実現する。

  • 悪意あるゲストシステムのファームウェア、UEFI拡張、ドライバ
  • ゲストOSにおける持続的なブートおよびカーネルの侵害
  • vTPM(仮想トラステッドプラットフォームモジュール)によって生成または保護されたシークレットの流出やリプレイ

Google CloudにおけるShielded VM関連の新機能

 Googleは、Shielded VMをGoogle Compute Engineのデフォルトとしただけでなく、幾つかのVMベースのGoogle Cloud Platform(GCP)サービス(「Google Cloud SQL」「Google Kubernetes Engine」「Kaggle」「Managed Service for Microsoft Active Directory」など)が、Shielded VMを基盤インフラとして使用するようにした。

 また、Google CloudへのVMの移行を支援するソフトウェア「Migrate for Compute Engine」(旧称:Velostrata)はバージョン4.5から、オンプレミスのUEFIベースのVMから、Google Compute Engine上のShielded VMへの移行をサポートするようになった。

 さらに、Google Cloudの包括的なセキュリティ管理およびデータリスクプラットフォームである「Security Command Center」の自動セキュリティスキャンサービス「Security Health Analytics」の分析結果から、Shielded VMをサポートするVMインスタンスの中で、セキュアブートを有効にしていないものを特定できるようになった。

Security Health Analyticsの分析結果の例(出典:Google) Security Health Analyticsの分析結果の例(出典:Google)

入手方法が増えたShielded VM対応のOSイメージ

 Shielded VMをサポートするOSイメージは、Google Cloudのコンソールだけでなく、GCP Marketplaceからも入手できるようになった。GCP Marketplaceから入手できるOSイメージには、ディープラーニングアプリケーション向けに事前構成されたVMである「Deep Learning VM」に加え、サードパーティーパートナーのCenter for Internet Security(CIS)、Server Generalとの協力によって用意されたものが含まれる。

 また、自社のアプリケーションやワークロード向けに、独自のキーを使ってバイナリに署名し、Shielded VM対応のカスタムイメージを作成することも可能になった。これらのイメージは、追加料金なしでGoogle Compute Engineにインポートできる。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。