기밀 가상 머신 기반 Red Hat Enterprise Linux의 새로운 업데이트

Red Hat Enterprise Linux(RHEL)의 새로운 주요 릴리스는 기밀(confidential)  컴퓨팅 도메인에서 여러 가지 중요한 개선 사항을 제공합니다. 이 문서에서는 현재 RHEL 10 및 RHEL 9.6에서 사용할 수 있는 가장 중요한 기능을 다룹니다. 

• FIPS 및 kdump 지원을 포함한 RHEL 통합 커널 이미지(UKI) 전체 지원
• Intel Trusted Domain Extension (TDX) 게스트
• Trustee 증명 클라이언트

RHEL 통합 커널 이미지(UKI)에 대한 전체 지원

첫 번째 도입 RHEL9.2에서 기술 프리뷰로, UKI RHEL UKI는 Linux 커널, initramfs 및 커널 명령줄을 포함하는 UEFI PE(Portable Executable) 바이너리입니다. 이러한 모든 부분을 하나의 바이너리에 포함하면 전체 운영 체제 부팅 프로세스를 포괄하도록 보안 부팅 보호를 확장할 수 있습니다. 이는 운영 체제가 퍼블릭 클라우드의 기밀 가상 머신(Confidential Virtual Machines, CVM)과 같이 신뢰할 수 없는 스토리지에서 부팅을 시작하는 다양한 시나리오에서 중요합니다.

RHEL UKI는 kernel-uki-virt 패키지로 제공되며, 현재 x86_64 아키텍처만 지원합니다. 앞으로 UEFI 펌웨어를 지원하는 다른 아키텍처도 추가할 예정이며, 특히 ARM64 (Aarch 64)를 지원할 계획입니다.

RHEL UKI는 가상 머신 및 클라우드 인스턴스를 대상으로 합니다. 다음 사전 요구 사항이 충족되는 경우 사용할 수 있습니다.

• 부팅 시 UEFI 펌웨어를 사용해야 합니다(레거시 BIOS 부팅은 지원되지 않습니다).
• 스토리지는 NVMe, Virtio 또는 VMBus입니다.
• 드라이브는 표준 파티셔닝과 함께 GPT를 사용합니다. 파티셔닝 체계는 systemd-gpt-auto-generator를 준수해야 합니다. LUKS 암호화된 볼륨도 지원합니다.
• 루트 볼륨은 XFS 또는 Ext4 파일 시스템을 사용합니다.

UKI는 systemd-stub 기반의 PE 바이너리이며, UEFI 펌웨어에서 직접 부팅할 수 있습니다. Red Hat에서는 UKI를 부팅할 때 shim 부트로더를 사용하는 것이 좋습니다. 이를 통해 MOK(Machine Owner Key) 및 SBAT(Secure Boot Advanced Targeting)와 같이 shim에서 제공하는 추가 보안 메커니즘을 사용할 수 있습니다. UEFI 변수 관리를 간소화하기 위해, uki-direct 패키지(python3-virt-firmware 의 일부)에는 편리한 kernel-bootcfg 툴이 포함되어 있습니다. 이 패키지는 A/B 부팅을 구현하는 데도 사용할 수 있습니다. 이 부팅에서는 새로 설치된 UKI가 한 번 시도되고 성공적으로 부팅되면 기본값으로 사용됩니다.

RHEL 10 및 RHEL9.6 릴리스를 통해 RHEL UKI 기술이 전체 지원됩니다. RHEL UKI는 또한 addons 메커니즘을 사용하여 확장할 수도 있습니다. 

RHEL UKI에서 FIPS 모드 지원

경우에 따라 RHEL UKI를 사용할 때 정적 커널 명령줄을 수정해야 할 수 있습니다. 특히 RHEL을 FIPS 모드로 전환하려면 fips=1 커널 명령줄의 매개 변수입니다. 일반적인 사용 사례를 간소화하기 위해 RHEL UKI에는 사전 빌드되고 서명된 커널 명령줄 확장 세트가 포함되어 있습니다. 일반적인 사용 사례를 단순화하기 위해, RHEL UKI는 kernel-uki-virt-addons 패키지에 포함된 미리 빌드되고 서명된 커널 명령줄 확장 세트와 함께 제공됩니다.

# rpm -q kernel-uki-virt kernel-uki-virt-addons 
kernel-uki-virt-5.14.0-569.el9.x86_64 
kernel-uki-virt-addons-5.14.0-569.el9.x86_64 
# cp \ 
/lib/modules/5.14.0-569.el9.x86_64/vmlinuz-virt.efi.extra.d/fips-enable-virt.rhel.x86_64.addon.efi \ 
/boot/efi/EFI/Linux/`cat /etc/machine-id`-5.14.0-569.el9.x86_64.efi.extra.d/ 
# reboot 

재부팅 후 다음을 확인할 수 있습니다. fips=1 이 커널 명령줄에 표시되었습니다.
 

# cat /proc/cmdline 
console=tty0 console=ttyS0  fips=1  

RHEL 9에서는 또한 fips-mode-setup 을 사용하여 시스템 전체 암호화 정책을 FIPS 모드로 전환해야 합니다. RHEL UKI를 사용할 때는 --no-bootcfg 스위치와 함께 실행하세요.

# fips-mode-setup --no-bootcfg

RHEL UKI의 kdump 활성화 지원

FIPS와 마찬가지로 kdump를 활성화하려면 메모리를 예약해야 합니다. 이 작업은 crashkernel= 커널 명령줄의 매개 변수를 지정하여 수행됩니다. 편의를 위해, kernel-uki-virt-addons 에는 가장 일반적인 사용 사례를 위한 서명된 애드온이 포함되어 있습니다.

# ls -1 /lib/modules/`uname -r`/vmlinuz-virt.efi.extra.d/ \ 
| grep crashkernel 
crashkernel-1536M-virt.rhel.x86_64.addon.efi 
crashkernel-192M-virt.rhel.x86_64.addon.efi 
crashkernel-1G-virt.rhel.x86_64.addon.efi 
crashkernel-256M-virt.rhel.x86_64.addon.efi 
crashkernel-2G-virt.rhel.x86_64.addon.efi 
crashkernel-512M-virt.rhel.x86_64.addon.efi 
crashkernel-default-virt.rhel.x86_64.addon.efi 

필수 애드온을 활성화하려면 애드온을 다음 위치에 복사합니다. /boot/efi/EFI/Linux/`cat /etc/machine-id`-`uname -r`.efi.extra.d/ 디렉터리.

Intel Trust Domain Extension (TDX) 게스트 전체 지원

인텔 Trusted Domain Extension (TDX)는 하드웨어로 격리된 가상 머신("신뢰할 수 있는 도메인" 또는 TD라고 함)을 제공하는 Intel의 기밀 컴퓨팅 기술입니다. Intel TDX는 기밀성, 신뢰성, 무결성을 보장합니다.

RHEL 9.2 릴리스에서 TDX 신뢰 도메인 내 RHEL 실행 지원을 기술 프리뷰로 도입했습니다. RHEL 10 및 RHEL 9.6 릴리스를 통해 이 사용 사례를 전체 지원합니다. 특히 RHEL은 Google의 C3 머신 시리즈에서 Google Cloud 뿐만 아니라 Microsoft Azure의 DCesv5 및 ECesv5 시리즈(현재 public preview)에서도 사용할 수 있습니다.

RHEL의 Trustee 클라이언트

원격 증명은 기밀 데이터를 저장하기 전에 환경의 신뢰성을 입증하기 때문에 기밀 컴퓨팅의 필수적인 부분입니다. 이전 문서에서 이전 문서 IETF의 remote attestation procedures architecture (RATS) 모델 및 Trustee project와 이러한 항목을 Confidential Containers에 적용하는 방법을 설명했습니다. RHEL 9.6 및 10에서는 Trustee를 간편하게 사용할 수 있으며 Trustee 클라이언트는 trustee-guest-components 패키지로 포함되어 있습니다. 클라이언트는 기술 프리뷰 로 제공되며 개발 및 테스트 목적으로 사용할 수 있습니다.

요약

기밀 유지 및 보안이 절대적인 우선순위인 경우 AMD의 SEV-SNP 및 Intel의 TDX와 같은 최첨단 하드웨어 기술에서 RHEL을 실행할 수 있습니다. RHEL과 함께 제공되는 RHEL UKI와 같은 소프트웨어는 안정적입니다. Red Hat은 가상화된 환경과 클라우드 환경에서 RHEL을 실행하는 모든 고객이 사용할 수 있도록 기밀 컴퓨팅 기술을 쉽게 사용할 수 있도록 하는 데 중점을 두고 있습니다.