Nuevas actualizaciones para Red Hat Enterprise Linux en máquinas virtuales confidenciales

La nueva versión principal de Red Hat Enterprise Linux (RHEL) incluye varias mejoras importantes en el ámbito de la informática confidencial. Este artículo cubre las funciones más importantes disponibles actualmente en RHEL 10 y RHEL 9.6: 

• Compatibilidad total con la imagen de kernel unificada (UKI) de RHEL, lo cual incluye compatibilidad con FIPS y kdump
• Intel Trusted Domain Extension (TDX) guests
• Cliente de atestación de Trustee

Compatibilidad total con la imagen de kernel unificada de RHEL (UKI)

Primero presentado en RHEL 9.2 como Technology Preview, UKI para RHEL es un binario ejecutable portátil (PE) de UEFI que contiene el kernel de Linux, initramfs y la línea de comandos del kernel. Tener todas estas partes en un binario permite ampliar la protección de arranque seguro para cubrir todo el proceso de arranque del sistema operativo. Esto es importante en varios escenarios en los que el sistema operativo comienza a arrancar desde un almacenamiento que no es de confianza, como una máquina virtual confidencial (CVM) en una nube pública.

Red Hat distribuye RHEL UKI  en el paquete kernel-uki-virt y actualmente solo admite la arquitectura x86_64. En el futuro, planeamos agregar otras arquitecturas que admitan el firmware UEFI, en particular, ARM64 (Aarch 64). 

RHEL UKI está diseñado para máquinas virtuales e instancias en la nube. Puedes usarlo cuando se cumplan los siguientes requisitos previos:

• Debes usar el firmware UEFI para el arranque (no admitimos el arranque del BIOS heredado)
• El almacenamiento es NVMe, Virtio o VMBus
• La unidad usa GPT con partición estándar. El esquema de partición debe cumplir con systemd-gpt-auto-generator. También admitimos volúmenes cifrados con LUKS.
• El volumen raíz usa el sistema de archivos XFS o Ext4

UKI se basa en systemd-stub y como un PE binario, y puedes iniciarlo directamente desde el firmware UEFI. En Red Hat, recomendamos usar el cargador de arranque shim al arrancar UKI. Esto permite el uso de mecanismos de seguridad adicionales provistos por shim, como Machine Owner Key (MOK) y Secure Boot Advanced Targeting (SBAT). Para simplificar la gestión de las variables de UEFI, el paquete uki-direct (parte de python3-virt-firmware) contiene una conveniente herramienta kernel-bootcfg. También puedes usar este paquete para implementar el arranque A/B, en el que el sistema prueba el UKI recién instalado una vez y, si arranca correctamente, lo convierte en el predeterminado.

Con el lanzamiento de RHEL 10 y RHEL 9.6, la tecnología RHEL UKI es totalmente compatible. Ten en cuenta que también puedes ampliar RHEL UKI con el complementos mecanismo. 

RHEL UKI admite el modo FIPS

En algunos casos, al usar RHEL UKI, puede ser necesario modificar una línea de comandos de kernel estática. En particular, cambiar RHEL al modo FIPS requiere el parámetro fips=1 en la línea de comandos del kernel. Para simplificar los casos de uso comunes, RHEL UKI incluye un conjunto de extensiones de línea de comandos de kernel prediseñadas y firmadas que se incluyen con el paquete kernel-uki-virt-addons. Con este paquete, la habilitación de FIPS en la línea de comandos del kernel es tan fácil como copiar un complemento en la partición del sistema EFI:

# rpm -q kernel-uki-virt kernel-uki-virt-addons  kernel-uki-virt-5.14.0-569.el9.x86_64  kernel-uki-virt-addons-5.14.0-569.el9.x86_64  # cp \  /lib/modules/5.14.0-569.el9.x86_64/vmlinuz-virt.efi.extra.d/fips-enable-virt.rhel.x86_64.addon.efi \  /boot/efi/EFI/Linux/`cat /etc/machine-id`-5.14.0-569.el9.x86_64.efi.extra.d/  # reboot  

Después de reiniciar, puedes verificar que fips=1 apareció en la línea de comandos del kernel:
 

# cat /proc/cmdline  console=tty0 console=ttyS0 fips=1  

Ten en cuenta que en RHEL 9, también debes usar fips-mode-setup para cambiar las políticas de cifrado de todo el sistema al modo FIPS. Con RHEL UKI, inícialo con el switch --no-bootcfg:

# fips-mode-setup --no-bootcfg

RHEL UKI admite la habilitación de kdump

De manera similar a FIPS, habilitar kdump requiere reserva de memoria. Esto lo logras especificando crashkernel= en la línea de comandos del kernel. Para mayor comodidad, kernel-uki-virt-addons incluye addons firmados para los casos más comunes:

# ls -1 /lib/modules/`uname -r`/vmlinuz-virt.efi.extra.d/ \  | grep crashkernel  crashkernel-1536M-virt.rhel.x86_64.addon.efi  crashkernel-192M-virt.rhel.x86_64.addon.efi  crashkernel-1G-virt.rhel.x86_64.addon.efi  crashkernel-256M-virt.rhel.x86_64.addon.efi  crashkernel-2G-virt.rhel.x86_64.addon.efi  crashkernel-512M-virt.rhel.x86_64.addon.efi  crashkernel-default-virt.rhel.x86_64.addon.efi 

Para habilitar el addon requerido, cópialo en el directorio /boot/efi/EFI/Linux/`cat /etc/machine-id`-`uname -r`.efi.extra.d/.

Los guests de Intel Trust Domain Extension (TDX) ahora son totalmente compatibles

Intel Trust Domain Extension (TDX) es una tecnología informática confidencial de Intel que proporciona máquinas virtuales aisladas de hardware (denominadas "dominio de confianza" o TD). Intel TDX ofrece garantías de confidencialidad, autenticidad e integridad.

Introdujimos el soporte para ejecutar RHEL dentro de un dominio de confianza TDX con la versión RHEL 9.2 como Technology Preview. Con las versiones RHEL 10 y RHEL 9.6, este caso de uso es totalmente compatible. En particular, puedes usar RHEL en la serie de máquinas C3 de Google en Google Cloud C3 serie de máquinas en Google Cloud así como en Microsoft Azure DCesv5 y la serie  ECesv5 (actualmente en public preview).

Cliente Trustee en RHEL

La atestación remota es una parte esencial de la informática confidencial, ya que demuestra la confiabilidad de un entorno antes de que puedas colocar datos confidenciales en él. En un artículo anterior, describimos el IETF modelo de arquitectura de procedimientos de atestación remota (RATS) y el Proyecto Trustee, y cómo puedes aplicarlos a los contenedores confidenciales. RHEL 9.6 y 10 simplifican el uso de Trustee, e incluimos el cliente Trustee como el paquete trustee-guest-components. Ten en cuenta que ofrecemos el cliente como Technology Preview y puedes usarlo con fines de desarrollo y prueba.

Resumen

Cuando la confidencialidad y la seguridad son una prioridad absoluta, puedes ejecutar RHEL en tecnologías de hardware de última generación, como SEV-SNP de AMD y TDX de Intel, con la confianza de que el software que incluimos con RHEL, como RHEL UKI, es estable. Red Hat se centra en la facilidad de uso de las tecnologías informáticas confidenciales y se asegura de que estén disponibles para todos los clientes que ejecutan RHEL en entornos virtualizados y de nube.