機密性の高い仮想マシンでの Red Hat Enterprise Linux に関する最新情報

2025 年 5 月 22 日Vitaly Kuznetsov8 分 (読了時間の目安)
Security Virtualization

Red Hat Enterprise Linux (RHEL) の新しいメジャーリリースでは、機密コンピューティングの分野で多くの重要な改善が加えられています。この記事では、RHEL 10 と RHEL 9.6 の両方で現在利用可能な最も重要な機能について説明します。 

  • FIPS および kdump のサポートを含む、RHEL Unified Kernel Image (UKI) の完全サポート
  • Intel Trusted Domain Extension (TDX) ゲスト
  • Trustee 認証クライアント

RHEL Unified Kernel Image (UKI) の完全サポート

RHEL9.2 でテクノロジープレビューとして最初に導入された RHEL 向けの UKI は、Linux カーネル、 initramfs、 カーネルコマンドラインを含む UEFI Portable Executable (PE) バイナリーです。これらすべての部分を 1 つのバイナリーに含めることで、セキュアブート保護を拡張して、オペレーティングシステムのブートプロセス全体をカバーできます。これは、パブリッククラウドの機密仮想マシン (CVM) など、オペレーティングシステムが信頼できないストレージからブートを開始するさまざまなシナリオで重要になります。

RHEL UKI は kernel-uki-virt パッケージで提供され、現時点では x86_64 アーキテクチャのみをサポートしています。今後、UEFI ファームウェアをサポートする他のアーキテクチャ、とくに ARM64 (Aarch 64) を追加する予定です。 

RHEL UKI は、仮想マシンとクラウドインスタンスを対象としています。これは、以下の前提条件を満たす場合に使用できます。

  • ブートには UEFI ファームウェアを使用すること (レガシー BIOS ブートはサポートされていません)
  • ストレージが NVMe、Virtio、または VMBus である
  • ドライブは標準のパーティショニングで GPT を使用する。パーティションスキームは systemd-gpt-auto-generator に準拠している必要がある。LUKS 暗号化ボリュームにも対応
  • ルートボリュームが XFS または Ext4 ファイルシステムを使用する

UKI は systemd-stub をベースとし、PE バイナリーとして実装されており、UEFI ファームウェアから直接ブートできます。Red Hat では、UKI のブート時に shim ブートローダーを使用することを推奨しています。これにより、Machine Owner Key (MOK) や Secure Boot Advanced Targeting (SBAT) など、shim が提供する追加のセキュリティーメカニズムを使用できます。UEFI 変数の管理を単純化するために、 uki-direct パッケージ (python3-virt-firmwareの一部) には、便利な kernel-bootcfg ツールが含まれています。このパッケージを使用すると、A/B ブートを実装することもできます。この場合、新しくインストールされた UKI が 1 回試行され、正常にブートされた場合、それがデフォルトになります。

RHEL 10 および RHEL9.6 のリリースにより、RHEL UKI テクノロジーは完全にサポートされるようになりました。RHEL UKI は、アドオンの仕組みを使用して拡張することもできます。 

RHEL UKI は FIPS モードをサポート

場合によっては、RHEL UKI を使用するときに、静的なカーネルコマンドラインを変更する必要があります。とりわけ、RHEL を FIPS モードに切り替えるには、 fips=1 パラメーターをカーネルコマンドラインに指定する必要があります。一般的なユースケースを単純化するために、RHEL UKI には、ビルド済みで、署名済みのカーネルコマンドライン拡張機能のセットが付属しており、 kernel-uki-virt-addons パッケージに含まれています。このパッケージを使用すると、EFI システムパーティションにアドオンをコピーするのと同じくらい簡単に、カーネルコマンドラインで FIPS を有効化できます。

# rpm -q kernel-uki-virt kernel-uki-virt-addons 
kernel-uki-virt-5.14.0-569.el9.x86_64 
kernel-uki-virt-addons-5.14.0-569.el9.x86_64 
# cp \ 
/lib/modules/5.14.0-569.el9.x86_64/vmlinuz-virt.efi.extra.d/fips-enable-virt.rhel.x86_64.addon.efi \ 
/boot/efi/EFI/Linux/`cat /etc/machine-id`-5.14.0-569.el9.x86_64.efi.extra.d/ 
# reboot 

リブート後、fips=1 がカーネルコマンドラインに表示されていることを確認できます。
 

# cat /proc/cmdline 
console=tty0 console=ttyS0  fips=1

RHEL 9 では、fips-mode-setup を使用してシステム全体の暗号化ポリシーを FIPS モードに切り替える必要があります。RHEL UKI を使用する場合は、 で起動します。 --no-bootcfg スイッチを使用して起動します。

# fips-mode-setup --no-bootcfg

RHEL UKI が kdump の有効化をサポート

FIPS と同様に、kdump を有効にするにはメモリー予約が必要です。この処理は、カーネルコマンドラインで crashkernel= パラメーターを指定して実行します。kernel-uki-virt-addons には、最も一般的なユースケース向けに署名済みアドオンが含まれています。

# ls -1 /lib/modules/`uname -r`/vmlinuz-virt.efi.extra.d/ \ 
| grep crashkernel 
crashkernel-1536M-virt.rhel.x86_64.addon.efi 
crashkernel-192M-virt.rhel.x86_64.addon.efi 
crashkernel-1G-virt.rhel.x86_64.addon.efi 
crashkernel-256M-virt.rhel.x86_64.addon.efi 
crashkernel-2G-virt.rhel.x86_64.addon.efi 
crashkernel-512M-virt.rhel.x86_64.addon.efi 
crashkernel-default-virt.rhel.x86_64.addon.efi

必要なアドオンを有効化するには、それを /boot/efi/EFI/Linux/`cat /etc/machine-id`-`uname -r`.efi.extra.d/ ディレクトリにコピーします。

Intel Trusted Domain Extension (TDX) ゲストの完全サポート

インテル Trusted Domain Extension (TDX) は、ハードウェアで分離された仮想マシン (「トラストドメイン」または TD と呼ばれる) を提供する、インテルの機密性の高いコンピューティング・テクノロジーです。インテルの TDX は、機密性、信頼性、および整合性を保証します。

TDX の信頼できるドメイン内での RHEL の実行サポートは、RHEL 9.2 リリースでテクノロジープレビューとして導入されました。RHEL 10 および RHEL 9.6 リリースでは、このユースケースは完全にサポートされています。とくに、RHEL は Google Cloud にある Google の C3 マシンシリーズや、Microsoft Azure  DCesv5 および ECesv5 シリーズ (現在パブリックレビュー中) で使用できます。

RHEL の Trustee クライアント

リモート認証は、機密データを配置する前にその環境の信頼性を証明するものであり、機密性の高いコンピューティングに不可欠なものです。前の記事では、IETF リモート認証手順アーキテクチャ (RATS) モデル と Trustee プロジェクトについて説明し、これらを Confidential Containers に適用する方法を説明しました。RHEL 9.6 および 10 では、Trustee を簡単に使用できるようになり、Trustee クライアントが  trustee-guest-components パッケージとして含まれています。クライアントは テクノロジープレビューとして提供されており、開発とテストの目的で使用できます。

まとめ

機密性とセキュリティが絶対的な優先事項である場合は、AMD の SEV-SNP やインテルの TDX などの最先端のハードウェア・テクノロジーで RHEL を実行できます。また、RHEL UKI など、RHEL で提供されているソフトウェアの安定性にも疑う必要はありません。Red Hat は、機密コンピューティング・テクノロジーの使いやすさに重点を置いており、仮想化環境やクラウド環境で RHEL を実行するすべてのお客様が利用できるように取り組んでいます。

製品トライアル

Red Hat Enterprise Linux | 製品トライアル

Red Hat Enterprise Linux のバージョンの 1 つで、ハードウェアリソースをオーケストレーションします。物理システムやクラウド上、またはハイパーバイザーのゲストとして実行できます。
試す

執筆者紹介

Vitaly Kuznetsov

Vitaly Kuznetsov

Principal Software Engineer

UI_Icon-Red_Hat-Close-A-Black-RGB

類似検索

ブログ投稿

Red Hat to acquire Chatterbox Labs: Frequently Asked Questions

ブログ投稿

From incident responder to security steward: My journey to understanding Red Hat's open approach to vulnerability management

オリジナルポッドキャスト

What Is Product Security? | Compiler

オリジナルポッドキャスト

Technically Speaking | Security for the AI supply chain

チャンネル別に見る

すべてのチャンネルを見る
automation icon

自動化

テクノロジー、チームおよび環境に関する IT 自動化の最新情報
AI icon

AI (人工知能)

お客様が AI ワークロードをどこでも自由に実行することを可能にするプラットフォームについてのアップデート
open hybrid cloud icon

オープン・ハイブリッドクラウド

ハイブリッドクラウドで柔軟に未来を築く方法をご確認ください。
security icon

セキュリティ

環境やテクノロジー全体に及ぶリスクを軽減する方法に関する最新情報
edge icon

エッジコンピューティング

エッジでの運用を単純化するプラットフォームのアップデート
Infrastructure icon

インフラストラクチャ

世界有数のエンタープライズ向け Linux プラットフォームの最新情報
application development icon

アプリケーション

アプリケーションの最も困難な課題に対する Red Hat ソリューションの詳細
Virtualization icon

仮想化

オンプレミスまたは複数クラウドでのワークロードに対応するエンタープライズ仮想化の将来についてご覧ください