メジャーブートのサプリメンタルパック

Citrix Hypervisorメジャーブートのサプリメンタルパックを使用することで、起動時にCitrix Hypervisorホストの主要コンポーネントを測定できます。また、リモート構成証明ソリューションを使用して、これらの測定値を安全に収集できるAPIを提供します。このサプリメンタルパックはIntelコンピューターシステムと互換性があり、Trusted Execution Technology(TXT)をサポートします。

サプリメンタルパックはCitrix Hypervisor 8.0 Premium Editionページからダウンロードできます。

注:

メジャーブートのサプリメンタルパックは、Citrix Hypervisor Premium Editionユーザー、またはCitrix Virtual Apps and Desktops権限によりCitrix Hypervisorにアクセスするユーザーが使用できます。

背景

このサプリメンタルパックのインストール後、Citrix Hypervisorサーバーの次の起動時に、IntelのTXTは低レベルのシステムコンポーネント(ファームウェア、BIOS、Xen hypervisor、dom0カーネル、dom0 initrdなど)を測定し、Trusted Platform Module(TPM)というホスト上のセキュアな場所に格納します。リモート構成証明ソリューションなど、これらの測定値を安全に収集するためのクライアント用の新しいインターフェイスが用意されています。

リモート構成証明

リモート構成証明ソリューションは、「既知の良好な」クリーン状態であるCitrix Hypervisorサーバーに接続することで機能します。低レベルの主要システム測定値一覧についてCitrix HypervisorサーバーのTPMにリモートかつセキュアに照会できます。これらの測定値は、「ホワイトリスト」または「既知の良好な」測定値一覧に格納されます。

ここで、リモート構成証明ソフトウェアは定期的に主要システム測定値を収集し、「既知の良好な」一覧と比較します。

以下の場合、ホストは「信頼できない」と見なされます:

  • リモート構成証明ソフトウェアが測定値を収集できない場合
  • 測定値が変化した場合
  • 暗号化キーが有効でない場合

この場合、顧客は通知を受け取ります。CloudStack、OpenStack、ワークロードバランスソフトウェアなどの高レベルオーケストレーションソフトウェアによって、影響を受けたホストでインテリジェントなセキュリティ操作を実行できます。

Citrix Hypervisorサーバーの準備

このサプリメンタルパックが正しく機能するには、データを収集する前に、ホストのBIOSで次の設定を編集します:

  1. Citrix Hypervisorサーバーが従来モードで起動するようにセットアップします。

    注:

    メジャーブートでは、UEFIブートモードはサポートされていません。

  2. Intel AES-NIを有効にします。

  3. TPM SecurityまたはOn with Pre-boot Measurementsを切り替えます。

  4. TPMをクリアします。

    この操作は、TPMに関連付けられた以前の設定とパスワードをすべて消去し、Citrix Hypervisorメジャーブートのサプリメンタルパックを使用して、TPMを制御できるようにします。

    注:

    この手順の後に、再起動する必要があります。

  5. TPMを有効にします。

  6. Intel TXTを有効にします。

注:

  • 手順5と手順6の後に再起動する必要があります。
  • BIOS設定は、ハードウェアの製造元によって異なります。特定の環境でTPMとTXTを有効にする方法については、ハードウェアのマニュアルを参照してください。

サプリメンタルパックのインストール

Citrix Hypervisor CLIを使用してこのサプリメンタルパックをインストールします。ソフトウェアのアップデートと同様、このサプリメンタルパックを適用する前に、データのバックアップを作成することをお勧めします。

サプリメンタルパックは、zipファイルで転送できます。サプリメンタルパックISOがzipファイルに含まれている場合は、以下の手順を実行する前に、zipファイルを解凍して、ディスクISOイメージを生成します。

実行中のCitrix Hypervisorシステムにインストール

  1. サプリメンタルパックを直接アップデートするCitrix Hypervisorホストにダウンロードします。

    シトリックスでは、/tmp/ディレクトリに直接保存することをお勧めします。

    また、ファイルをインターネットに接続されたコンピューターにダウンロードし、ISOイメージをCDに書き込むこともできます。

  2. XenCenterでCitrix Hypervisorホストのコンソールを開きます。または、SSHを使用して直接ログオンします。

  3. 最も簡単な方法は、ISOファイルから直接インストールすることです。以下のコマンドを実行します。

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.0-measured-boot.iso
    

    また、ISOをCDに書き込むことを選択した場合は、ディスクをマウントする必要があります。たとえば、CD-ROMの場合は、次のように入力します。「path to cd-rom」はCD-ROMへのパスです:

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    
  4. 変更を適用するには、ホストを再起動します。

再インストール

以前のバージョンにこのサプリメンタルパックをインストールする場合は、以前のインストールを上書きすることに同意します。xe-install-supplemental-packのインストール中、メッセージが表示されたらYを入力します。

デフォルトパスワードのアップデート

以前のバージョンのサプリメンタルパックでは、デフォルトのパスワードはxenrootに設定され末尾で改行されました。このバージョンのサプリメンタルパックにおける新しいデフォルトパスワードはxenrootで、末尾の改行は削除されました。

カスタムパスワードは/opt/xensource/tpm/configで設定でき、echo -n <password | sha1sumで生成されたプレーンテキストパスワードをSHA1ハッシュにする必要があります。-nがこのコマンドラインから省略された場合、パスワードに末尾の改行が含まれます。

アセットタグを設定する

アセットタグは--tpm_set_asset_tagおよび--tpm_clear_asset_tagメソッドで/opt/xensource/tpm/xentpmバイナリを使用して設定できます。または、管理API tpmプラグインとtpm_set_asset_tag(「tag」引数使用)およびtpm_clear_asset_tag関数を組み合わせて設定できます:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

注:

この手順の後に、再起動する必要があります。

詳細情報の表示

メジャーブートのサプリメンタルパックをダウンロードするには、Citrix Hypervisor 8.0 Premium Editionページを参照してください。

このサプリメンタルパックのインストールで問題が発生した場合は、シトリックステクニカルサポートにお問い合わせください。

Citrix Hypervisor 8.0ドキュメントを参照するには、Citrix製品ドキュメントWebサイトにアクセスしてください。