※ 本記事は、Klaudia Warnerによる”Protect data in use with OCI Confidential Computing“を翻訳したものです。

2023年2月8日 改版 (2022年10月20日 初版)

Oracleでは、お客様がコンピュート・インフラストラクチャに対してより堅牢なセキュリティ体制を構築できるように常に取り組んでいます。Oracle Cloud Infrastructure(OCI)は、オブジェクト・ストレージおよびブロック・ストレージ・サービスで保存されている顧客のデータを暗号化し、OCI Vault and OCI Certificatesを使用して転送中のデータを暗号化します。本日、お客様は、オラクルのConfidential Computing製品を使用して、OCI Computeインスタンスで使用されているデータをより適切に保護できることをお知らせします。

「新しいOCI E3およびE4ベースのConfidential VMは、顧客がワークロードをクラウドに移行しながら、最新のセキュリティ機能とAMD EPYCプロセッサの優れたパフォーマンスを提供しながら、データ・コントロールの保証を強化するのに役立ちます。」

Suresh Andani (Sr. Director, AMD Cloud Business Group)

Confidential Computingとは?

Confidential Computingにより、使用中のデータがハードウェア・レベルで保護されます。AMD EPYC™プロセッサを搭載したConfidential Computingにより、安全に暗号化された仮想化(SEV)やConfidentialベア・メタル・サーバーと安全なメモリー暗号化(SME)などのAMD Infinity Guard機能を利用して、Confidential仮想マシン(VM)を実現できます。これらの機能は、すべてのOCIのE3およびE4シェイプで使用可能な第2世代および第3世代のAMD EPYCプロセッサで使用可能なセキュリティ・コンポーネントを利用します。

AMD SEVを使用すると、AMD EPYCプロセッサは、VMごとに一意のキーを使用して、ゲストをハイパーバイザから分離するためのメモリーの暗号化を行い、整合性とプライバシーを保護するのに役立ちます。SMEでは、起動時にAMDセキュア・プロセッサによって単一の鍵が生成され、システム・メモリー全体を暗号化するために使用されます。暗号化鍵は、Oracleでもアクセスできないように、セキュア・プロセッサによってハードウェアレベルで保護されます。

Confidential Computingには、組織がセキュリティ体制を強化してConfidential VMやベア・メタル・サーバーを含めるかどうかを決定する際に考慮できるいくつかの利点があります。Confidential Computingは、ハードウェアの最下位層にセキュリティを提供することで、信頼できる関係者(OS、エコシステム・パートナー、管理者)のリストを最小限に抑え、データ漏洩のリスクを軽減します。強化されたハードウェアベースの信頼ルートを通じて、攻撃対象領域を小さくし、使用中のデータのセキュリティを強化することで、内部脅威やファームウェアの侵害など、いくつかのタイプの脆弱性から保護できます。財務、医療、その他の規制の厳しい業界では、ライフサイクル全体を通じてデータを保護することが重要です。組織は、Confidential Computingを使用して、地域および業界のフレームワークに対する規制コンプライアンスを満たし、維持することもできます。

アプリケーション・コードを変更することなく、パフォーマンスへの影響を最小限に抑えながら、OCIのConfidential Computingサービスを通じて、このようなメリットをすべて得ることができます。Confidential Computingを有効にしても、コンピュート・インスタンスの価格に余分なコストはかかりません。

はじめに

コンソールにアクセスし、インスタンスを作成し、「セキュリティ」セクションに移動して「編集」をクリックします。

A screenshot of the Create Compute Instance page.

次に、「Confidential Computing」をオンに切り替えます。

A screenshot of the Security section showing the Confidential Computing option turned on.

ロック・アイコンを探して、互換性のあるイメージおよびシェイプを選択します。

A screenshot of the Image and Shape page, showing the options for images.

Confidential Computingの詳細

Confidential Computingは、選択したクラウド・リージョン(米国東部(アッシュバーン)、米国西部(フェニックス)、英国Gov西部(ニューポート)、英国南部(ロンドン)、ドイツ中央部(フランクフルト)およびスイス北部(チューリッヒ))で使用できます。互換性のあるシェイプ、サポートされているOSでインスタンスを構築し、インスタンスの作成時に機能を選択する必要があります。すでに作成されたインスタンスではこの機能をオンにできません。今後、より多くのクラウド・リージョンでこの機能を有効にする予定ですので、今後の更新にご期待ください。