La nouvelle version majeure de Red Hat Enterprise Linux (RHEL) apporte d'importantes améliorations dans le domaine de l'informatique confidentielle. Cet article présente les fonctionnalités clés disponibles actuellement dans RHEL 10 et RHEL 9.6 :
- Prise en charge complète de RHEL Unified Kernel Image (UKI), y compris FIPS et kdump
- Prise en charge des invités Intel Trusted Domain Extension (TDX)
- Client d'attestation Trustee
Prise en charge complète de RHEL Unified Kernel Image (UKI)
Tout d'abord introduit dans RHEL 9.2 en tant que version préliminaire, UKI pour RHEL est un binaire UEFI Portable Executable (PE) qui contient le noyau Linux, l'initramfs et la ligne de commande du noyau. L'intégration de tous ces éléments dans un seul binaire permet d'étendre la protection du démarrage sécurisé à l'ensemble du processus de démarrage du système d'exploitation. Cette capacité est importante dans divers scénarios où le système d'exploitation démarre à partir d'un stockage non approuvé, comme une machine virtuelle confidentielle (CVM) dans un cloud public.
RHEL UKI est livré dans kernel-uki-virt package, et prend actuellement en charge uniquement l'architecture x86_64. À l'avenir, nous prévoyons d'ajouter d'autres architectures qui prennent en charge le micrologiciel UEFI, en particulier l'architecture ARM64 (Aarch 64).
RHEL UKI est destiné aux machines virtuelles et aux instances Cloud. Son utilisation est possible lorsque les conditions préalables suivantes sont remplies :
- Le microprogramme UEFI est utilisé pour le démarrage (le démarrage via BIOS existant n'est pas pris en charge)
- Le stockage doit être de type NVMe, Virtio ou VMBus
- Le lecteur utilise GPT avec un partitionnement standard. Le schéma de partitionnement doit être conforme à systemd-gpt-auto-generator. Les volumes chiffrés LUKS sont également pris en charge
- Le volume racine utilise le système de fichiers XFS ou Ext4
L'UKI est basé sur systemd-stub et en tant que binaire PE, il peut être démarré directement à partir du microprogramme UEFI. Chez Red Hat, nous recommandons d'utiliser le chargeur de démarrage shim lors du démarrage de l'UKI. Cette approche permet d'utiliser des mécanismes de sécurité supplémentaires fournis par shim, tels que la clé propriétaire de la machine (MOK) et le Secure Boot Advanced Targeting (SBAT). Pour simplifier la gestion des variables UEFI, uki-direct package (partie de python3-virt-firmware) contient un outil pratique kernel-bootcfg outil. Ce paquet peut également être utilisé pour mettre en œuvre un démarrage A/B, dans lequel l'UKI nouvellement installée est essayée une fois et, si elle démarre avec succès, devient la valeur par défaut.
Avec la version de RHEL 10 et RHEL 9.6, la technologie RHEL UKI est entièrement prise en charge. Notez que RHEL UKI peut également être étendue à l'aide du mécanisme de module complémentaire.
RHEL UKI prend en charge le mode FIPS
Dans certains cas, lorsque vous utilisez RHEL UKI, il peut être nécessaire de modifier une ligne de commande de noyau par ailleurs statique. En particulier, le passage de RHEL en mode FIPS nécessite le fips=1 paramètre sur la ligne de commande du noyau. Pour simplifier les cas d'utilisation courants, RHEL UKI est fourni avec un ensemble d'extensions de ligne de commande de noyau préconstruites et signées, incluses dans kernel-uki-virt-addons paquet. Avec ce paquet, l'activation FIPS sur la ligne de commande du noyau est aussi simple que de copier un module complémentaire (addon) dans la partition système EFI :
# rpm -q kernel-uki-virt kernel-uki-virt-addons
kernel-uki-virt-5.14.0-569.el9.x86_64
kernel-uki-virt-addons-5.14.0-569.el9.x86_64
# cp \
/lib/modules/5.14.0-569.el9.x86_64/vmlinuz-virt.efi.extra.d/fips-enable-virt.rhel.x86_64.addon.efi \
/boot/efi/EFI/Linux/`cat /etc/machine-id`-5.14.0-569.el9.x86_64.efi.extra.d/
# reboot Après le redémarrage, vous pouvez vérifier que fips=1 est apparu sur la ligne de commande du noyau :
# cat /proc/cmdline
console=tty0 console=ttyS0 fips=1 Notez que dans RHEL 9, vous devez également utiliser fips-mode-setup pour faire passer les politiques de chiffrement à l'échelle du système en mode FIPS ; avec RHEL UKI, lancez-le avec le --no-bootcfg paramètre :
# fips-mode-setup --no-bootcfgRHEL UKI prend en charge l'activation de kdump
À l'instar de FIPS, l'activation de kdump nécessite une réservation de mémoire. Pour ce faire, vous devez spécifier crashkernel= paramètre sur la ligne de commande du noyau. Pour plus de commodité, kernel-uki-virt-addons inclut des modules complémentaires signés pour la plupart des cas d'utilisation courants :
# ls -1 /lib/modules/`uname -r`/vmlinuz-virt.efi.extra.d/ \
| grep crashkernel
crashkernel-1536M-virt.rhel.x86_64.addon.efi
crashkernel-192M-virt.rhel.x86_64.addon.efi
crashkernel-1G-virt.rhel.x86_64.addon.efi
crashkernel-256M-virt.rhel.x86_64.addon.efi
crashkernel-2G-virt.rhel.x86_64.addon.efi
crashkernel-512M-virt.rhel.x86_64.addon.efi
crashkernel-default-virt.rhel.x86_64.addon.efi Pour activer le module complémentaire requis, copiez-le dans le /boot/efi/EFI/Linux/`cat /etc/machine-id`-`uname -r`.efi.extra.d/.
La prise en charge des invités Intel Trust Domain Extension (TDX) est désormais complète
Intel Trusted Domain Extension (TDX) est une technologie informatique confidentielle d'Intel qui fournit des machines virtuelles isolées du matériel (appelées « domaine de confiance » ou TD). Intel TDX fournit des garanties de confidentialité, d'authenticité et d'intégrité.
La prise en charge de l’exécution de RHEL dans un domaine de confiance TDX a été introduite avec la version RHEL 9.2 sous forme de version préliminaire. Avec les versions RHEL 10 et RHEL 9.6, ce cas d'utilisation est entièrement pris en charge. En particulier, RHEL peut être utilisé sur les C3 séries de machines dans Google Cloud ainsi que sur Microsoft Azure DCesv5 et ECesv5 séries (actuellement en préversion publique).
Client Trustee dans RHEL
L'attestation à distance est un élément essentiel de l'informatique confidentielle, car elle atteste de la fiabilité d'un environnement avant que des données confidentielles y soient placées. Dans un article précédent Nous avons décrit l'IETF modèle d'architecture des procédures d'attestation à distance (RATS) et les Projet Trustee et comment ils peuvent être appliqués aux conteneurs confidentiels. Les versions 9.6 et 10 de RHEL simplifient l'utilisation de Trustee, et le client Trustee est inclus en tant que trustee-guest-components paquet. Notez que le client est proposé en tant que Préversion technologique et peut servir à des fins de développement et de test.
Synthèse
Lorsque la confidentialité et la sécurité constituent une priorité essentielle, vous pouvez exécuter RHEL sur des technologies matérielles de pointe, telles que SEV-SNP d'AMD et TDX d'Intel, en sachant que le logiciel fourni avec RHEL, par exemple RHEL UKI, est stable. Chez Red Hat, nous nous efforçons de faciliter l'adoption des technologies informatiques confidentielles, en veillant à ce qu'elles soient disponibles pour tous les clients qui exécutent RHEL dans des environnements virtualisés et Cloud.
product trial
Red Hat Enterprise Linux Server | Essai de produit
À propos de l'auteur
Contenu similaire
Parcourir par canal
Automatisation
Les dernières nouveautés en matière d'automatisation informatique pour les technologies, les équipes et les environnements
Intelligence artificielle
Actualité sur les plateformes qui permettent aux clients d'exécuter des charges de travail d'IA sur tout type d'environnement
Cloud hybride ouvert
Découvrez comment créer un avenir flexible grâce au cloud hybride
Sécurité
Les dernières actualités sur la façon dont nous réduisons les risques dans tous les environnements et technologies
Edge computing
Actualité sur les plateformes qui simplifient les opérations en périphérie
Infrastructure
Les dernières nouveautés sur la plateforme Linux d'entreprise leader au monde
Applications
À l’intérieur de nos solutions aux défis d’application les plus difficiles
Virtualisation
L'avenir de la virtualisation d'entreprise pour vos charges de travail sur site ou sur le cloud
