Informatique confidentielle avec LinuxONE

Hyper Protect Virtual Servers pour VPC

Hyper Protect Virtual Servers for VPC tire parti d' IBM Secure Execution for Linux pour délimiter chaque instance et offre les avantages suivants:

• Sélectionner la disponibilité

  Les profils d'instance pour les instances Hyper Protect Virtual Server sont disponibles dans les régions US South (Dallas), US East (Washington, DC), Canada (Toronto), Brésil (São Paulo), Royaume-Uni (Londres), Allemagne (Francfort), Espagne (Madrid) et Japon (Tokyo).

• Limite d'exécution sécurisée pour la protection contre les menaces internes et externes

  Hyper Protect Virtual Servers pour VPC fournit une assurance technique que les utilisateurs non autorisés, y compris les administrateurs d' IBM Cloud, n'ont pas accès à l'application. Les charges de travail sont verrouillées par des limites de sécurité individuelles au niveau de l'instance.

• Contrat multipartite et attestation de déploiement

  Appliquer les principes de la confiance zéro depuis le développement de la charge de travail jusqu'au déploiement. A mesure que plusieurs personnes et entités juridiques collaborent, il est essentiel de séparer le devoir et l'accès. Hyper Protect Virtual Servers for VPC est basé sur un nouveau concept de contrat chiffré. Il permet à chaque personne de fournir sa contribution et d'être assuré par le chiffrement qu'aucune des autres personnes ne peut accéder à ces données ou à la propriété intellectuelle. Le déploiement peut être validé par un personnage d'auditeur au moyen d'un enregistrement d'attestation, qui est signé et crypté pour garantir que seul l'auditeur dispose de ce niveau d'information.

• Protections contre les logiciels malveillants

  Hyper Protect Virtual Servers pour VPC utilise Secure Build pour mettre en place un processus de vérification afin de s'assurer que seul le code autorisé est exécuté dans une application. Il ne déploie que des versions de conteneurs qui sont validées au moment du déploiement par le biais d'une ou sont signés explicite, et il ne peut être extrait que d'une privé Container Registry avec authentification.

• Apportez votre propre image OCI et utilisez le service géré Container Runtime

  Utilisez une image OCI(Open-Container Initiative) et bénéficiez des avantages d'une solution informatique confidentielle pour des niveaux de protection supplémentaires. S'assurer, par le biais d'un contrat signé, que seule une combinaison spécifique de votre charge de travail et de votre environnement est déployée.

• Basé sur l'infrastructure VPC (Virtual Private Cloud) pour une sécurité réseau supplémentaire

  Choisissez parmi différentes tailles de profil et développez selon les besoins pour protéger les applications conteneurisées et le paiement à l'utilisation sur une base horaire.

  Tirez parti de votre infrastructure existante ou commune de groupes de sécurité du réseau et de l'infrastructure d'enregistrement.

Procédez comme suit pour commencer à utiliser Hyper Protect Virtual Servers pour VPC. Plus important encore, un contrat valide est requis pour la création d'une instance.

Avant de commencer

Il est important de lire les informations suivantes et d'effectuer les préparations requises avant de créer une instance Hyper Protect Virtual Servers pour VPC.

• Planification

  Tenez compte d'aspects tels que les profils et les images du système d'exploitation. Pour créer une instance Hyper Protect Virtual Servers for VPC avec une image stockée, choisissez l'IBM Hyper Protect Container Runtime.

• Choisissez de générer votre propre image avec Hyper Protect Virtual Servers

  Outre l'utilisation de l'image stockée, vous pouvez choisir de générer en toute sécurité votre propre image avec Hyper Protect Virtual Servers et utiliser cette image pour mettre à disposition une instance Hyper Protect Virtual Servers pour VPC. Pour plus d'informations, voir Confidential Computing Container Secure Build.

• Préparer un contrat

  Lorsque vous créez une instance, vous devez transmettre un contrat valide dans la zone Données utilisateur. L'image IBM Hyper Protect Container Runtime se compose de différents composants ou services qui déchiffrent le contrat (s'il est chiffré), valident le schéma du contrat, vérifient la signature du contrat, créent la phrase passe pour chiffrer l'unité de disque et font apparaître le conteneur spécifié dans le contrat.

  Si aucun contrat n'est passé, l'instance finit par s'arrêter.

• Configuration de la consignation

  Pour lancer une instance Hyper Protect Virtual Servers pour VPC, vous devez d'abord configurer la journalisation en ajoutant la configuration de journalisation dans le contrat. Après le déploiement, vous pouvez utiliser deux types de journalisation pour afficher les journaux d'instance Hyper Protect Virtual Servers pour VPC.

  • Service de journalisation que vous avez configuré

    Voir Journalisation pour Hyper Protect Virtual Servers for VPC.

    Si la consignation n'est pas configurée correctement, l'instance s'arrête automatiquement.

  • console en série

    Après avoir sélectionné le système d'exploitation et procédé au déploiement, vous pouvez afficher le statut du déploiement ainsi que les journaux sur la console en série pour confirmer si l'instance est une instance Hyper Protect Virtual Servers pour VPC. Vous pouvez également utiliser les informations de ce journal pour identifier et résoudre les problèmes de mise à disposition. Pour plus d'informations, voir Accès aux instances de serveur virtuel à l'aide d'une console VNC ou en série.

• Volume de données

  L'instance prend en charge plusieurs volumes de données qui sont cryptés par défaut avec la graine ou la phrase de passe que vous fournissez, ce qui permet de garantir la protection des données de votre charge de travail. Il est recommandé d'attacher tous les volumes de données nécessaires à l'instance lors de la création de l'instance afin que les données du conteneur soient stockées dans les volumes de données. Il est également recommandé de prendre un instantané des volumes de données afin de pouvoir y revenir en cas de problème ultérieur.

  A partir de la version de l'image HPCR ibm-hyper-protect-container-runtime-1-0-s390x-9, pour les nouvelles instances Hyper Protect Virtual Servers for VPC, le volume de données est partitionné en deux parties. La première partition (100Mib) est réservée aux métadonnées internes ; la deuxième partition reste le volume de données pour la charge de travail. Seuls les nouveaux volumes sont partitionnés et vous ne pouvez pas utiliser le volume partitionné avec une version antérieure de l'image HPCR. La mise à disposition avec un volume chiffré existant fonctionne également. La différence est que le volume existant n'est pas partitionné et que vous pouvez également revenir à une image plus ancienne avec ce volume.

  Lorsque vous créez une Hyper Protect Virtual Servers pour une instance VPC avec un volume de données attaché, le détachement de ce volume de données entraîne l'échec de la charge de travail exécutée sur l'instance. Il est recommandé de ne pas déconnecter le volume de données.

• Groupe de sécurité pour les ports

  Les ports associés au conteneur ou à la charge de travail doivent être explicitement ouverts via des groupes de sécurité pour qu'ils soient accessibles. Par conséquent, vous devez créer un groupe de sécurité basé sur les ports associés au conteneur et le connecter au VPC correspondant qui est utilisé avec l'instance Hyper Protect Virtual Servers pour VPC.

Création d'une instance Hyper Protect Virtual Servers pour VPC

Une fois la planification terminée et le contrat prêt, vous pouvez créer une instance Hyper Protect Virtual Servers pour VPC.

• Création d'une instance à l'aide de l'interface utilisateur. Sur la page de mise à disposition, veillez à sélectionner IBM Z, LinuxONE for Architecture et à activer le bouton à bascule Exécuter votre charge de travail avec un système d'exploitation et un profil protégé par Secure Execution sous Informatique confidentielle.
• Création d'une instance à l'aide de l'interface de ligne de commande

Consultez la documentation de traitement des incidents ou obtenez de l'aide si vous rencontrez des problèmes avec l'instance.

Vous pouvez utiliser Terraform pour automatiser les opérations avec Hyper Protect Virtual Servers pour VPC.

Vous pouvez utiliser votre Hyper Protect Virtual Servers pour l'instance VPC dans les configurations réseau private-only, dans lesquelles le VPC n'a pas de passerelle publique et l'instance de serveur virtuel n'a pas d'IP flottante. Vous pouvez vous connecter à des points d'extrémité privés d'autres services, notamment Container Registry et IBM Log Analysis. La condition préalable est de disposer d'un serveur DNS attaché à votre instance de serveur virtuel. Vous n'avez pas besoin d'effectuer d'autres configurations.

Récupération ou mise à niveau d'une instance Hyper Protect Virtual Servers pour VPC à l'aide de IBM Cloud VPC Instantanés.

Si votre instance Hyper Protect Virtual Servers for VPC échoue pour une raison quelconque, vous pouvez créer une nouvelle instance et connecter le volume de données qui a été connecté à l'instance ayant échoué (dans les 15 minutes suivant la création de la nouvelle instance). Veillez à utiliser le même contrat que celui utilisé à l'origine pour créer l'instance.

Vous pouvez également créer une image instantanée du volume de données qui a été connecté à l'instance ayant échoué. Créez ensuite une nouvelle instance. Lorsque vous connectez le volume de données, choisissez Restauration d'un volume à partir d'une image instantanée et sélectionnez l'image instantanée que vous avez prise précédemment pour restaurer le volume à partir de. Veillez à utiliser le même contrat que celui utilisé à l'origine pour créer l'instance.

Lorsque vous souhaitez utiliser une nouvelle image Hyper Protect Container Runtime chaque fois qu' IBM la met à disposition, vous pouvez suivre l'une des procédures mentionnées qui utilisent des instantanés. Vous devez utiliser le même contrat que celui que vous avez utilisé pour créer l'instance d'origine.