IBM Cloud Docs
Virtual Servers for VPC のセキュア・ブート

Virtual Servers for VPC のセキュア・ブート

アベイラビリティーの選択

セキュア・ブートは、ブート・プロセス内のすべてのコードのデジタル署名を検証することにより、信頼できるソフトウェアでサーバーが始動することを保証するセキュリティー標準です。 サーバーがセキュア・ブート・モードで始動すると、ファームウェアは、UEFI ファームウェア・ドライバー、EFI アプリケーション、およびオペレーティング・システムを含むブート・ソフトウェアのシグニチャーを検査します。 シグニチャーが有効な場合は、サーバーがブートし、ファームウェアがオペレーティング・システムに制御を付与します。 つまり、セキュア・ブートは、サーバーの始動時に悪意のあるソフトウェアがロードされないようにするのに役立ちます。

セキュア・ブート要件

セキュア・ブートを使用する場合は、以下の情報に留意してください。

  • UEFI ブート-サポートされるイメージ

    Unified Extensible Firmware Interface (UEFI) ファームウェアは、ソフトウェア・メーカーがシステム・ファームウェア、システム・ブート・ローダー、およびロードするバイナリー・ファイルに署名するために使用する鍵を含む証明書を安全に管理します。

  • GPT パーティション・ディスク

    セキュアブート機能には、古いパーティショニングスキーマであるマスターブートレコード(MBR)に代わるGUIDパーティショニングテーブル(GPT)が必要です。 UEFIモードでイメージをブートするには、GPTパーティションスキーマが必要です。 それ以外の場合、イメージは BIOS (基本入出力システム) モードでブートされます。

すべての主要な OS ディストリビューションは、2 つの要件が満たされた場合にセキュア・ブートを成功させるために必要な、署名付きブート・ローダー、署名付きカーネル、および署名付きカーネル・モジュールを提供します。

カスタム・カーネルまたはカスタム・カーネル・モジュールを使用する場合、独自の証明書で署名し、その証明書をファームウェアまたはマシン・オーナー・キー(MOK)に知らせる必要があります。 mokutil ユーティリティーを使用して Linux 鍵の管理に役立てることができますが、MOK 鍵に対する変更は、ブート時にコンソールから直接確認する必要があります。 したがって、カスタム・カーネルおよびカスタム・カーネル・モジュールの署名に使用されるユーザー生成の鍵を確認できるのは、コンソールに存在するユーザーのみです。

仮想サーバーを停止して再起動すると、MOKは消えます。 仮想サーバーを停止および起動するたびに、MOKを再インストールする必要があります。

制限

セキュアブートを使用する際には、以下の制限に留意してください。

  • セキュアブートは、以下のプロファイルを除く第三世代Sapphire Rapidsベースの仮想サーバーでのみ利用可能です。
    • mx3d-128x1280
    • mx3d-176x1760
    • bx3d-176x880

セキュアブートが有効な仮想サーバーをセキュアブートが無効なプロファイルにサイズ変更すると(またはその逆)、PCIeデバイスのトポロジーが変更されます。 オペレーティング・システムによっては、このトポロジーの変更によってデバイス名が変更され、PCIアドレスが再調整されることがある。 I/O性能も変わる可能性がある。

セキュア・ブートは、以下の状況では保護を提供しません。

  • オペレーティング・システム・ベースの攻撃
  • 物理的なハードウェア攻撃
  • 悪意のあるシステム管理者

セキュアブートが有効な仮想サーバーは、ブートパスにあるソフトウェアコンポーネントが署名されていない場合、または署名された証明書がロードされていない場合、ブートに失敗します。 デプロイメントが成功した場合でも、署名されていないと、インスタンスはブートできません。 つまり、仮想サーバーにログインすることも、仮想サーバーからPingを受信することもできない。 ブートの失敗については通知されないことに注意してください。 ブートが成功したことを確認し、ブート失敗の原因を特定するには、コンソール・ログを使用する必要があります。