セキュアブート
セキュアブートは、信頼できるソフトウェアのみがシステムの起動に使用されることを保証するように設計されています。ファームウェアは信頼された証明書のデータベースを持ち、ロードするイメージが信頼された証明書のいずれかによって署名されていることを検証します。そのイメージがさらにイメージをロードする場合、そのイメージも同様の方法で検証される必要があります。vTPMは、従来の物理TPMモジュールの仮想化されたソフトウェアインスタンスです。vTPMは、VMのブートチェーン全体(UEFI、OS、システム、ドライバー)を測定することで、アテステーションを可能にします。
サポートされているクラウドサービスの詳細については、以下を参照してください。
AWSでのセキュアブート
AWS環境では、NitroTPMおよび/またはUEFIセキュアブートが有効なマスターイメージ(AMI)を選択できます。したがって、カタログにプロビジョニングされたVMもNitroTPMおよび/またはUEFIセキュアブートが有効になります。この実装により、VMは保護され、信頼性が確保されます。NitroTPMおよびUEFIセキュアブートの詳細については、Amazonドキュメントを参照してください。NitroTPMおよびUEFIセキュアブートが有効なカタログの作成については、VMインスタンスのNitroTPMおよびUEFIセキュアブートを有効にするを参照してください。
グーグル クラウド プラットフォームにおけるセキュアブート
GCPでシールドされた仮想マシンをプロビジョニングできます。シールドされた仮想マシンは、セキュアブート、仮想トラステッドプラットフォームモジュール、UEFIファームウェア、整合性監視などの高度なプラットフォームセキュリティ機能を使用して、Compute Engineインスタンスの検証可能な整合性を提供する一連のセキュリティ制御によって強化されています。
PowerShellを使用してシールドされたVMを含むカタログを作成する方法の詳細については、PowerShellを使用してシールドされたVMを含むカタログを作成するを参照してください。
注:
マスターイメージにWindows 11をインストールする場合、マスターイメージ作成プロセス中にvTPMを有効にする必要があります。また、マシンプロファイルソース(VMまたはインスタンステンプレート)でvTPMを有効にする必要があります。単一テナントノードにWindows 11 VMを作成する方法については、単一テナントノードにWindows 11 VMを作成するを参照してください。
マイクロソフト アジュールにおけるセキュアブート
Azure環境では、Trusted launchが有効なマシンカタログを作成できます。Azureは、第2世代VMのセキュリティを向上させるシームレスな方法として、Trusted launchを提供します。Trusted launchは、高度で永続的な攻撃手法から保護します。Trusted launchの根幹には、VMのセキュアブートがあります。Trusted launchは、クラウドによるリモートアテステーションを実行するためにvTPMも使用します。これは、プラットフォームの健全性チェックと、信頼に基づいた意思決定を行うために使用されます。セキュアブートとvTPMは個別に有効にできます。Trusted launchを使用してマシンカタログを作成する方法の詳細については、「Trusted launchを使用したマシンカタログ」を参照してください。
VMwareでのセキュアブート
MCSは、マシンプロファイルの入力元としてvTPMがアタッチされたVMwareテンプレートを使用してマシンカタログを作成することをサポートしています。マスターイメージにWindows 11がインストールされている場合、マスターイメージに対してvTPMが有効になっている必要があります。したがって、マシンプロファイルのソースであるVMwareテンプレートには、vTPMがアタッチされている必要があります。詳細については、「マシンプロファイルを使用してマシンカタログを作成する」を参照してください。