Das neue Haupt-Release von Red Hat Enterprise Linux (RHEL) bringt wichtige Verbesserungen im Bereich des Confidential Computings (vertrauliche Datenverarbeitung) mit sich. Dieser Artikel beleuchtet die wichtigsten Funktionen, die jetzt in RHEL 10 und RHEL 9.6 verfügbar sind:
- Vollständige Unterstützung für RHEL Unified Kernel Image (UKI), einschließlich FIPS- und kdump-Support
- Intel Trusted Domain Extension (TDX) Guests
- Trustee Attestation Client
Vollständige Unterstützung für RHEL Unified Kernel Image (UKI)
Eingeführt als Technolgievorschau in RHEL 9.2, UKI für RHEL ist eine UEFI Portable Executable (PE)-Binärdatei, die den Linux-Kernel, initramfs und die Kernel-Befehlszeile enthält. Sind alle diese Teile in einer Binärdatei enthalten, lässt sich der Secure Boot-Schutz auf den gesamten Boot-Vorgang des Betriebssystems ausweiten. Dies ist wichtig in verschiedenen Szenarien, in denen das Betriebssystem von einem nicht vertrauenswürdigen Storage bootet, zum Beispiel von einem vertraulichen virtuellen Rechner (Confidential Virtual Machine, CVM) in einer öffentlichen Cloud.
RHEL UKI ist standardmäßig verfügbar im kernel-uki-virt Paket und unterstützt derzeit nur die x86_64-Architektur. Für die Zukunft planen wir, weitere Architekturen hinzuzufügen, die UEFI-Firmware unterstützen, insbesondere ARM64 (Aarch 64).
RHEL UKI ist auf virtuelle Maschinen und Cloud-Instanzen ausgerichtet. Sie können es verwenden, wenn folgende Voraussetzungen zutreffen:
- Für den Bootvorgang kommt UEFI-Firmware zum Einsatz (Legacy-BIOS-Boot wird nicht unterstützt).
- Storage ist NVMe, Virtio oder VMBus
- Das Laufwerk verwendet GPT mit Standardpartitionierung. Das Partitionsschema muss kompatibel sein mit systemd-gpt-auto-generator. Verschlüsselte LUKS-Datenträger werden ebenfalls unterstützt.
- Das Root-Volume verwendet das XFS- oder Ext4-Dateisystem
UKI basiert auf systemd-stub und ist als PE-Binärdatei direkt über die UEFI-Firmware bootfähig. Red Hat empfiehlt beim Booten von UKI den Bootloader shim. Dies ermöglicht zusätzliche Sicherheitsmechanismen, die shim bereitstellt, wie Machine Owner Key (MOK) und Secure Boot Advanced Targeting (SBAT). Um die Verwaltung von UEFI-Variablen zu vereinfachen, uki-direct-Paket (Bestandteil von python3-virt-firmware) enthält das praktische kernel-bootcfg Tool. Dieses Paket ermöglicht auch die Implementierung von A/B-Booten, bei dem das neu installierte UKI einmal getestet wird und im Falle eines erfolgreichen Bootvorgangs zum Standard wird.
Mit der Veröffentlichung von RHEL 10 und RHEL 9.6 unterstützt Red Hat die RHEL UKI-Technologie vollständig. Beachten Sie, dass sich RHEL UKI auch mithilfe des Add-Ons-Mechanismus erweitern lässt.
RHEL UKI unterstützt den FIPS-Modus
In einigen Fällen kann es bei der Verwendung von RHEL UKI erforderlich sein, eine ansonsten statische Kernel-Befehlszeile zu ändern. Insbesondere erfordert das Umschalten von RHEL in den FIPS-Modus den fips=1 Parameter in der Kernel-Befehlszeile. Um gängige Anwendungsfälle zu vereinfachen, liefert RHEL UKI vorgefertigte und signierte Kernel-Befehlszeilenerweiterungen mit, die im kernel-uki-virt-addons-Paket enthalten sind. Mit diesem Paket ist die FIPS-Aktivierung in der Kernel-Befehlszeile so einfach wie das Kopieren eines Add-Ons in die EFI-Systempartition:
# rpm -q kernel-uki-virt kernel-uki-virt-addons
kernel-uki-virt-5.14.0-569.el9.x86_64
kernel-uki-virt-addons-5.14.0-569.el9.x86_64
# cp \
/lib/modules/5.14.0-569.el9.x86_64/vmlinuz-virt.efi.extra.d/fips-enable-virt.rhel.x86_64.addon.efi \
/boot/efi/EFI/Linux/`cat /etc/machine-id`-5.14.0-569.el9.x86_64.efi.extra.d/
# reboot Nach dem Neustart können Sie überprüfen, ob fips=1 in der Kernel-Befehlszeile erscheint:
# cat /proc/cmdline
console=tty0 console=ttyS0 fips=1 Beachten Sie, dass Sie in RHEL 9 auch fips-mode-setup verwenden müssen, um die systemweiten Krypto-Richtlinien auf den FIPS-Modus umzustellen. Starten Sie RHEL UKI mit dem --no-bootcfg Schalter:
# fips-mode-setup --no-bootcfgRHEL UKI unterstützt die kdump-Aktivierung
Ähnlich wie bei FIPS erfordert die Aktivierung von kdump eine Speicherreservierung. Geben Sie dazu den Parameter crashkernel= in die Kernel-Befehlszeile ein. Der Einfachheit halber enthält kernel-uki-virt-addons signierte Add-ons für gängige Anwendungsfälle:
# ls -1 /lib/modules/`uname -r`/vmlinuz-virt.efi.extra.d/ \
| grep crashkernel crashkernel-1536M-virt.rhel.x86_64.addon.efi
crashkernel-192M-virt.rhel.x86_64.addon.efi
crashkernel-1G-virt.rhel.x86_64.addon.efi
crashkernel-256M-virt.rhel.x86_64.addon.efi
crashkernel-2G-virt.rhel.x86_64.addon.efi
crashkernel-512M-virt.rhel.x86_64.addon.efi
crashkernel-default-virt.rhel.x86_64.addon.efi Um das erforderliche Add-On zu aktivieren, kopieren Sie es in das /boot/efi/EFI/Linux/`cat /etc/machine-id`-`uname -r`.efi.extra.d/ Verzeichnis.
Intel Trust Domain Extension (TDX) Guests werden nun vollständig unterstützt
Intel Trusted Domain Extension (TDX) ist eine Confidential Computing-Technologie von Intel, die hardware-isolierte virtuelle Maschinen bereitstellt (auch als „Trusted Domain“ oder TD bezeichnet). Intel TDX bietet Vertraulichkeits-, Authentizitäts- und Integritätsgarantien.
Die Unterstützung für die Ausführung von RHEL innerhalb einer vertrauenswürdigen TDX-Domain wurde mit dem RHEL 9.2 Release als Technologievorschau eingeführt. Mit den RHEL 10 und RHEL 9.6 Releases wird dieser Anwendungsfall nun vollständig unterstützt. Insbesondere lässt sich RHEL auf der C3 -Rechnerserie von Google in Google Cloud sowie auf der Microsoft Azure DCesv5 und ECesv5-Serie (aktuell in Public Preview) einsetzen.
Trustee-Client in RHEL
Remote Attestation ist ein wesentlicher Bestandteil von Confidential Computing, da sie die Vertrauenswürdigkeit einer Umgebung nachweist, bevor Sie vertrauliche Daten dort ablegen können. In einem vorherigen Artikel, haben wir das IETF-RATS-Modell (Remote Attestation Procedures Architecture) und das Trustee-Projekt beschrieben und wie sich diese auf Confidential Containers anwenden lassen. RHEL 9.6 und 10 vereinfachen die Nutzung von Trustee und der Trustee-Client ist als trustee-guest-components-Paket enthalten. Beachten Sie, dass wir den Client als Technologievorschau anbieten und er für Entwicklungs- und Testzwecke verwendet werden kann.
Zusammenfassung
Wenn Vertraulichkeit und Sicherheit oberste Priorität haben, können Sie RHEL auf modernen Hardwaretechnologien wie SEV-SNP von AMD und TDX von Intel ausführen. Dabei können Sie darauf vertrauen, dass die von Red Hat mit RHEL bereitgestellte Software, wie zum Beispiel RHEL UKI, stabil ist. Red Hat konzentriert sich auf die Benutzerfreundlichkeit von Confidential Computing-Technologien und stellt sicher, dass sie für Kunden verfügbar sind, die RHEL in virtualisierten und Cloud-Umgebungen ausführen.
product trial
Red Hat Enterprise Linux Server | Testversion
Über den Autor
Mehr davon
Nach Thema durchsuchen
Automatisierung
Das Neueste zum Thema IT-Automatisierung für Technologien, Teams und Umgebungen
Künstliche Intelligenz
Erfahren Sie das Neueste von den Plattformen, die es Kunden ermöglichen, KI-Workloads beliebig auszuführen
Open Hybrid Cloud
Erfahren Sie, wie wir eine flexiblere Zukunft mit Hybrid Clouds schaffen.
Sicherheit
Erfahren Sie, wie wir Risiken in verschiedenen Umgebungen und Technologien reduzieren
Edge Computing
Erfahren Sie das Neueste von den Plattformen, die die Operations am Edge vereinfachen
Infrastruktur
Erfahren Sie das Neueste von der weltweit führenden Linux-Plattform für Unternehmen
Anwendungen
Entdecken Sie unsere Lösungen für komplexe Herausforderungen bei Anwendungen
Virtualisierung
Erfahren Sie das Neueste über die Virtualisierung von Workloads in Cloud- oder On-Premise-Umgebungen
