Novas atualizações do Red Hat Enterprise Linux em máquinas virtuais confidenciais

A nova versão principal do Red Hat Enterprise Linux (RHEL) traz várias melhorias importantes no domínio da computação confidencial. Este artigo aborda os recursos mais importantes disponíveis agora no RHEL 10 e no RHEL 9.6: 

• Suporte completo para RHEL Unified Kernel Image (UKI), incluindo suporte para FIPS e kdump
• Intel Trusted Domain Extension (TDX) guests
• Cliente de atestado do Trustee

Suporte completo para RHEL Unified Kernel Image (UKI)

Apresentado pela primeira vez no RHEL9.2 como uma prévia de tecnologia, UKI para RHEL é um binário executável portátil (PE) UEFI que contém o kernel do Linux, o initramfs e a linha de comando do kernel. Ter todas essas partes em um binário permite estender a proteção do Secure Boot para abranger todo o processo de inicialização do sistema operacional. Isso é importante em vários cenários onde o sistema operacional começa a inicialização a partir de um armazenamento não confiável, como uma máquina virtual confidencial (CVM) em uma nuvem pública.

O RHEL UKI é parte do pacote kernel-uki-virt e atualmente é compatível somente com a arquitetura x86_64. No futuro, planejamos adicionar outras arquiteturas compatíveis com firmware UEFI, em particular, ARM64 (Aarch 64). 

O RHEL UKI é voltado para máquinas virtuais e instâncias de nuvem. Ele pode ser usado quando os seguintes pré-requisitos são atendidos:

• O firmware UEFI é usado para a inicialização (a inicialização da BIOS legada não é compatível).
• O armazenamento é NVMe, Virtio ou VMBus.
• A unidade usa GPT com particionamento padrão. O esquema de particionamento deve estar em conformidade com systemd-gpt-auto-generator. Volumes criptografados LUKS também são compatíveis.
• O volume raiz usa o sistema de arquivos XFS ou Ext4.

O UKI é baseado em systemd-stub e como um binário PE, e pode ser inicializado diretamente a partir do firmware UEFI. Na Red Hat, recomendamos usar o bootloader shim ao inicializar o UKI. Isso permite o uso de mecanismos de segurança adicionais fornecidos pelo shim, como Machine Owner Key (MOK) e Secure Boot Advanced Targeting (SBAT). Para simplificar o gerenciamento de variáveis de UEFI, uki-direct pacote (parte do python3-virt-firmware) contém um conveniente kernel-bootcfg. Esse pacote também pode ser usado para implementar a inicialização A/B, na qual o UKI recém-instalado é testado uma vez e, caso seja inicializado com êxito, se torna o padrão.

Com o lançamento do RHEL 10 e RHEL9.6, a tecnologia RHEL UKI é totalmente compatível. Observe que o RHEL UKI também pode ser estendido com o uso de mecanismos de add-ons. 

O RHEL UKI é compatível com o modo FIPS

Em alguns casos, ao usar o RHEL UKI, pode ser necessário modificar uma linha de comando do kernel estática. Em particular, alternar o RHEL para o modo FIPS requer o parâmetro fips=1 na linha de comando do kernel. Para simplificar casos de uso comuns, o RHEL UKI é fornecido com um conjunto de extensões de linha de comando do kernel pré-compiladas e assinadas, incluídas no pacote kernel-uki-virt-addons. Com esse pacote, a ativação do FIPS na linha de comando do kernel é tão fácil quanto copiar um complemento para a partição do sistema EFI:

# rpm -q kernel-uki-virt kernel-uki-virt-addons
kernel-uki-virt-5.14.0-569.el9.x86_64
kernel-uki-virt-addons-5.14.0-569.el9.x86_64
# cp \
/lib/modules/5.14.0-569.el9.x86_64/vmlinuz-virt.efi.extra.d/fips-enable-virt.rhel.x86_64.addon.efi \
/boot/efi/EFI/Linux/`cat /etc/machine-id`-5.14.0-569.el9.x86_64.efi.extra.d/
# reboot  

Após a reinicialização, você pode verificar se fips=1 apareceu na linha de comando do kernel:
 

# cat /proc/cmdline
console=tty0 console=ttyS0 fips=1  

Observe que, no RHEL 9, você também deve usar fips-mode-setup para alternar as políticas de criptografia de todo o sistema para o modo FIPS. Com o RHEL UKI, inicie-o com o switch --no-bootcfg:

# fips-mode-setup --no-bootcfg

O RHEL UKI é compatível com a habilitação de kdump

Semelhante ao FIPS, habilitar o kdump exige reserva de memória. Isso é feito especificando crashkernel= na linha de comando do kernel. Para sua conveniência, kernel-uki-virt-addons inclui add-ons assinados para os casos de uso mais comuns:

# ls -1 /lib/modules/`uname -r`/vmlinuz-virt.efi.extra.d/ \
| grep crashkernel  
crashkernel-1536M-virt.rhel.x86_64.addon.efi 
crashkernel-192M-virt.rhel.x86_64.addon.efi  
crashkernel-1G-virt.rhel.x86_64.addon.efi  
crashkernel-256M-virt.rhel.x86_64.addon.efi  
crashkernel-2G-virt.rhel.x86_64.addon.efi  
crashkernel-512M-virt.rhel.x86_64.addon.efi  
crashkernel-default-virt.rhel.x86_64.addon.efi 

Para habilitar o complemento necessário, copie-o para o diretório /boot/efi/EFI/Linux/`cat /etc/machine-id`-`uname -r`.efi.extra.d/.

Guests Intel Trust Domain Extension (TDX) agora são totalmente compatíveis

Intel Trust Domain Extension (TDX) é uma tecnologia de computação confidencial da Intel que fornece máquinas virtuais isoladas por hardware (chamadas de "domínio confiável" ou TD). O Intel TDX oferece garantias de confidencialidade, autenticidade e integridade.

O suporte para executar o RHEL em um domínio confiável TDX foi introduzido com a versão RHEL 9.2 como uma Technology Preview. Com as versões RHEL 10 e RHEL 9.6, esse caso de uso é totalmente compatível. Em particular, o RHEL pode ser usado no Google C3 série de máquinas em Google Cloud e no Microsoft Azure DCesv5 e ECesv5 série (atualmente disponível como visualização pública).

Cliente Trustee no RHEL

O atestado remoto é uma parte essencial da Computação Confidencial porque comprova a confiabilidade de um ambiente antes que os dados confidenciais possam ser colocados nele. Em um artigo anterior, descrevemos a IETF modelo de arquitetura de procedimentos de atestado remoto (RATS) e o Projeto Trustee, e como eles podem ser aplicados a Confidential Containers. O RHEL 9.6 e 10 simplificam o uso do Trustee, e o cliente Trustee está incluído como o pacote trustee-guest-components. Observe que o cliente é oferecido como uma prévia de tecnologia e pode ser usado para fins de desenvolvimento e teste.

Resumo

Quando a confidencialidade e a segurança são uma prioridade absoluta, você pode executar o RHEL em tecnologias de hardware de última geração, como o SEV-SNP da AMD e o TDX da Intel, com a confiança de que o software fornecido com o RHEL, como o RHEL UKI, é estável. A Red Hat se concentra na facilidade de consumo de tecnologias de computação confidenciais, garantindo que elas estejam disponíveis para todos os clientes que executam o RHEL em ambientes virtualizados e de nuvem.