Red Hat Blog를 보다가 관심 가는 글이 보여서 AI번역+약간 교정해 보았습니다.
출처: https://www.redhat.com/en/blog/new-updates-red-hat-enterprise-linux-confidential-virtual-machines
Red Hat Enterprise Linux(RHEL)의 새로운 주요 릴리스는 기밀 컴퓨팅 분야에서 여러 가지 중요한 개선 사항을 제공합니다. 이 문서에서는 RHEL 10과 RHEL 9.6에서 현재 사용 가능한 가장 중요한 기능에 대해 설명합니다.
- FIPS 및 kdump 지원을 포함한 RHEL Unified Kernel Image(UKI)에 대한 전체 지원
- Intel Trusted Domain Extension (TDX) 게스트
- 수탁자 증명 고객
RHEL Unified Kernel Image(UKI)에 대한 전체 지원
RHEL9.2에서 기술 프리뷰로 처음 소개된 UKI for RHEL은 Linux 커널, initramfs, 커널 명령줄을 포함하는 UEFI Portable Executable(PE) 바이너리입니다. 이 모든 구성 요소를 하나의 바이너리에 포함함으로써 보안 부팅 보호 기능을 확장하여 전체 운영 체제 부팅 프로세스를 포괄할 수 있습니다. 이는 퍼블릭 클라우드의 기밀 가상 머신(CVM)과 같이 신뢰할 수 없는 저장소에서 운영 체제가 부팅되는 다양한 상황에서 중요합니다.
RHEL UKI는 kernel-uki-virt 패키지로 제공되며 현재 x86_64 아키텍처만 지원합니다. 향후 UEFI 펌웨어를 지원하는 다른 아키텍처, 특히 ARM64( Aarch 64)를 추가할 계획입니다.
RHEL UKI는 가상 머신과 클라우드 인스턴스를 대상으로 합니다. 다음 전제 조건을 충족하는 경우 사용할 수 있습니다.
- 부팅에 UEFI 펌웨어가 사용됩니다(레거시 BIOS 부팅은 지원되지 않음)
- 스토리지는 NVMe, Virtio 또는 VMBus입니다.
- 드라이브는 표준 파티셔닝과 함께 GPT를 사용합니다. 파티셔닝 체계는 systemd-gpt-auto-generator 를 준수해야 합니다 . LUKS 암호화 볼륨도 지원됩니다.
- 루트 볼륨은 XFS 또는 Ext4 파일 시스템을 사용합니다.
UKI는 systemd-stub을 기반으로 하며 PE 바이너리로, UEFI 펌웨어에서 직접 부팅할 수 있습니다. Red Hat에서는 UKI 부팅 시 shim 부트 로더 사용을 권장합니다. 이를 통해 shim이 제공하는 Machine Owner Key(MOK), Secure Boot Advanced Targeting(SBAT)과 같은 추가 보안 메커니즘을 활용할 수 있습니다. UEFI 변수 관리를 간소화하기 위해 uki-direct 패키지(python3-virt-firmware의 일부)에는 편리한 kernel-bootcfg 도구가 포함되어 있습니다. 이 패키지는 A/B 부팅 구현에도 사용할 수 있으며, 새로 설치된 UKI를 한 번 시도한 후 성공적으로 부팅되면 기본값으로 설정됩니다.
RHEL 10과 RHEL 9.6이 출시되면서 RHEL UKI 기술이 완벽하게 지원됩니다. RHEL UKI는 애드온 메커니즘을 사용하여 확장할 수도 있습니다.
RHEL UKI는 FIPS 모드를 지원합니다
경우에 따라 RHEL UKI를 사용할 때 정적인 커널 명령줄을 수정해야 할 수 있습니다. 특히 RHEL을 FIPS 모드로 전환하려면 커널 명령줄에서 fips=1 매개변수를 입력해야 합니다. 일반적인 사용 사례를 간소화하기 위해 RHEL UKI는 kernel-uki-virt-addons 패키지에 미리 빌드되고 서명된 커널 명령줄 확장 프로그램 세트를 함께 제공합니다. 이 패키지를 사용하면 커널 명령줄에서 FIPS를 활성화하는 것이 EFI 시스템 파티션에 애드온을 복사하는 것만큼 간단합니다.
# rpm -q kernel-uki-virt kernel-uki-virt-addons kernel-uki-virt-5.14.0-569.el9.x86_64 kernel-uki-virt-addons-5.14.0-569.el9.x86_64 # cp \ /lib/modules/5.14.0-569.el9.x86_64/vmlinuz-virt.efi.extra.d/fips-enable-virt.rhel.x86_64.addon.efi \ /boot/efi/EFI/Linux/`cat /etc/machine-id`-5.14.0-569.el9.x86_64.efi.extra.d/ # reboot
재부팅 후 커널 명령줄에 fips=1이 나타나는지 확인할 수 있습니다.
# cat /proc/cmdline console=tty0 console=ttyS0 fips=1
RHEL 9에서는 시스템 전체 암호화 정책을 FIPS 모드로 전환하려면 fips-mode-setup를 사용해야 합니다. RHEL UKI를 사용하는 경우 다음 --no-bootcfg 스위치를 사용하여 실행하세요.
# fips-mode-setup --no-bootcfg
RHEL UKI는 kdump 활성화를 지원합니다.
FIPS와 마찬가지로 kdump를 활성화하려면 메모리 예약이 필요합니다. 이는 커널 명령줄에서 crashkernel= 매개변수를 지정하여 수행됩니다. 편의를 위해 kernel-uki-virt-addons에 가장 일반적인 사용 사례에 대한 서명된 애드온이 포함되어 있습니다.
# ls -1 /lib/modules/`uname -r`/vmlinuz-virt.efi.extra.d/ \ | grep crashkernel crashkernel-1536M-virt.rhel.x86_64.addon.efi crashkernel-192M-virt.rhel.x86_64.addon.efi crashkernel-1G-virt.rhel.x86_64.addon.efi crashkernel-256M-virt.rhel.x86_64.addon.efi crashkernel-2G-virt.rhel.x86_64.addon.efi crashkernel-512M-virt.rhel.x86_64.addon.efi crashkernel-default-virt.rhel.x86_64.addon.efi
필요한 애드온을 활성화하려면 해당 애드온을 /boot/efi/EFI/Linux/`cat /etc/machine-id`-`uname -r`.efi.extra.d/ 디렉토리에 복사합니다.
이제 Intel Trust Domain Extension(TDX) 게스트가 완벽하게 지원
인텔 TDX(Trusted Domain Extension)는 하드웨어로 격리된 가상 머신(“신뢰할 수 있는 도메인” 또는 TD라고 함)을 제공하는 인텔의 기밀 컴퓨팅 기술입니다. 인텔 TDX는 기밀성, 신뢰성 및 무결성을 보장합니다.
TDX 신뢰할 수 있는 도메인 내에서 RHEL을 실행하는 기능은 RHEL 9.2 릴리스에서 기술 프리뷰로 처음 지원되었습니다. RHEL 10 및 RHEL 9.6 릴리스에서는 이 사용 사례가 완벽하게 지원됩니다. 특히 RHEL은 Google Cloud 의 Google C3 머신 시리즈 뿐만 아니라 Microsoft Azure DCesv5 및 ECesv5 시리즈(현재 공개 프리뷰 )에서도 사용할 수 있습니다.
RHEL의 수탁 클라이언트
원격 증명은 기밀 데이터를 저장하기 전에 환경의 신뢰성을 입증하기 때문에 기밀 컴퓨팅의 필수적인 부분입니다. 이전 글 에서는 IETF 원격 증명 절차 아키텍처(RATS) 모델 과 Trustee 프로젝트 를 설명하고 , 이를 기밀 컨테이너에 적용하는 방법을 설명했습니다. RHEL 9.6과 10에서는 Trustee 사용이 간편해졌으며, Trustee 클라이언트가 trustee-guest-components패키지로 포함되어 있습니다. 이 클라이언트는 기술 미리보기 로 제공되며 개발 및 테스트 목적으로 사용할 수 있습니다.
요약
기밀성과 보안이 최우선 순위인 경우, AMD의 SEV-SNP 및 Intel의 TDX와 같은 최첨단 하드웨어 기술에서 RHEL을 실행하면서도 RHEL UKI와 같이 RHEL과 함께 제공되는 소프트웨어의 안정성을 확신할 수 있습니다. Red Hat은 기밀 컴퓨팅 기술의 사용 편의성에 중점을 두고 가상화 및 클라우드 환경에서 RHEL을 실행하는 모든 고객이 이러한 기술을 사용할 수 있도록 보장합니다.
