Nuovi aggiornamenti per Red Hat Enterprise Linux su macchine virtuali riservate

La nuova versione principale di Red Hat Enterprise Linux (RHEL) apporta una serie di importanti miglioramenti al settore dell'elaborazione riservata. Questo articolo illustra le funzionalità più importanti attualmente disponibili in RHEL 10 e RHEL 9.6: 

• Supporto completo per RHEL Unified Kernel Image (UKI), incluso il supporto per FIPS e kdump
• Guest Intel Trusted Domain Extension (TDX)
• Client di attestazione del Trustee

Supporto completo per RHEL Unified Kernel Image (UKI)

Introdotto per la prima volta in RHEL9.2 come Technology Preview, UKI per RHEL è un file binario UEFI Portable Executable (PE) contenente il kernel Linux, initramfs e la riga di comando del kernel. Avere tutte queste parti in un unico file binario consente di estendere la protezione Secure Boot per coprire l'intero processo di avvio del sistema operativo. Questo aspetto è importante in diversi scenari in cui il sistema operativo inizia l'avvio da uno storage non attendibile, come una macchina virtuale riservata (CVM) su un cloud pubblico.

RHEL UKI è fornito  nel kernel-uki-virt e attualmente supporta solo l'architettura x86_64. In futuro, prevediamo di aggiungere altre architetture che supportano il firmware UEFI, in particolare ARM64 (Aarch 64). 

RHEL UKI si rivolge a macchine virtuali e istanze cloud. Può essere utilizzato quando sono soddisfatti i seguenti prerequisiti:

• Per l'avvio si utilizza il firmware UEFI (l'avvio del BIOS legacy non è supportato)
• Lo storage è NVMe, Virtio o VMBus
• L'unità utilizza GPT con partizionamento standard. Lo schema di partizionamento deve essere conforme a systemd-gpt-auto-generator. Sono supportati anche i volumi crittografati LUKS
• Il volume root utilizza il file system XFS o Ext4

UKI si basa su systemd-stub e come binario PE e può essere avviato direttamente dal firmware UEFI. Red Hat consiglia di utilizzare il bootloader shim durante l'avvio di UKI. Ciò consente l'uso di meccanismi di sicurezza aggiuntivi forniti da shim, come Machine Owner Key (MOK) e Secure Boot Advanced Targeting (SBAT). Per semplificare la gestione delle variabili UEFI, uki-direct pacchetto (parte di python3-virt-firmware) contiene un comodo strumento kernel-bootcfg. Questo pacchetto può essere utilizzato anche per implementare l'avvio A/B, in cui l'UKI appena installato viene provato una volta e, nel caso in cui si avvii correttamente, diventa quello predefinito.

Con il rilascio di RHEL 10 e RHEL9.6, la tecnologia RHEL UKI è completamente supportata. Si noti che RHEL UKI può anche essere esteso utilizzando il meccanismo dei componenti aggiuntivi. 

RHEL UKI supporta la modalità FIPS

In alcuni casi, quando si utilizza RHEL UKI, potrebbe essere necessario modificare una riga di comando del kernel altrimenti statica. In particolare, il passaggio da RHEL alla modalità FIPS richiede il fips=1 parametro nella riga di comando del kernel. Per semplificare gli scenari di utilizzo più comuni, RHEL UKI viene fornito con un set di estensioni della riga di comando del kernel predefinite e firmate incluse nel pacchetto kernel-uki-virt-addons. Con questo pacchetto, l'abilitazione FIPS sulla riga di comando del kernel è facile come copiare un componente aggiuntivo nella partizione di sistema EFI:

# rpm -q kernel-uki-virt kernel-uki-virt-addons
kernel-uki-virt-5.14.0-569.el9.x86_64
kernel-uki-virt-addons-5.14.0-569.el9.x86_64
# cp \  /lib/modules/5.14.0-569.el9.x86_64/vmlinuz-virt.efi.extra.d/fips-enable-virt.rhel.x86_64.addon.efi \
/boot/efi/EFI/Linux/`cat /etc/machine-id`-5.14.0-569.el9.x86_64.efi.extra.d/
# reboot  

Dopo il riavvio, è possibile verificare che fips=1 sia apparso sulla riga di comando del kernel:
 

# cat /proc/cmdline  
console=tty0 console=ttyS0 fips=1  

Si noti che in RHEL 9, è necessario utilizzare anche fips-mode-setup per passare alla modalità FIPS delle policy crittografiche a livello di sistema. Con RHEL UKI, avvialo con l'opzione --no-bootcfg:

# fips-mode-setup --no-bootcfg

RHEL UKI supporta l'abilitazione di kdump

Analogamente a FIPS, l'abilitazione di kdump richiede la prenotazione della memoria. Questo viene fatto specificando il parametro crashkernel= nella riga di comando del kernel. Per comodità, kernel-uki-virt-addons include componenti aggiuntivi firmati per gli scenari di utilizzo più comuni:

# ls -1 /lib/modules/`uname -r`/vmlinuz-virt.efi.extra.d/ \  
| grep crashkernel  
crashkernel-1536M-virt.rhel.x86_64.addon.efi  
crashkernel-192M-virt.rhel.x86_64.addon.efi  
crashkernel-1G-virt.rhel.x86_64.addon.efi  
crashkernel-256M-virt.rhel.x86_64.addon.efi  
crashkernel-2G-virt.rhel.x86_64.addon.efi  
crashkernel-512M-virt.rhel.x86_64.addon.efi  
crashkernel-default-virt.rhel.x86_64.addon.efi 

Per abilitare il componente aggiuntivo richiesto, copialo nella directory /boot/efi/EFI/Linux/`cat /etc/machine-id`-`uname -r`.efi.extra.d/.

I guest Intel Trusted Domain Extension (TDX) sono ora completamente supportati

Intel Trusted Domain Extension (TDX) è una tecnologia di elaborazione riservata di Intel che fornisce macchine virtuali isolate dall'hardware (denominate "domini attendibili" o TD). Intel TDX offre garanzie di riservatezza, autenticità e integrità.

Il supporto per l'esecuzione di RHEL all'interno di un dominio attendibile TDX è stato introdotto con la versione RHEL 9.2 come Technology Preview. Con le versioni RHEL 10 e RHEL 9.6, questo scenario di utilizzo è completamente supportato. In particolare, RHEL può essere utilizzato sulle macchine della serie C3 di Google in Google Cloud e sulle serie Microsoft Azure DCesv5 e ECesv5 (attualmente in anteprima pubblica).

Client Trustee in RHEL

L'attestazione remota è una parte essenziale dell'elaborazione riservata perché dimostra l'affidabilità di un ambiente prima che i dati riservati possano essere inseriti in esso. In un articolo precedente, abbiamo descritto il modello IETF Remote Attestation Procedure Architecture (RATS) e il progetto Trustee, e come questi possono essere applicati ai container riservati. RHEL 9.6 e 10 semplificano l'utilizzo di Trustee e il client Trustee è incluso come pacchetto trustee-guest-components. Si noti che il client viene offerto in anteprima e può essere utilizzato per scopi di sviluppo e test.

Riepilogo

Quando la riservatezza e la sicurezza sono una priorità assoluta, è possibile eseguire RHEL su tecnologie hardware all'avanguardia, come SEV-SNP di AMD e TDX di Intel, con la certezza che il software fornito con RHEL, come RHEL UKI, sia stabile. Red Hat si concentra sulla facilità di utilizzo delle tecnologie di elaborazione riservate, assicurando che siano disponibili a tutti i clienti che eseguono RHEL in ambienti cloud e virtualizzati.