3 テクノロジ・プレビュー
このリリースのOracle Linuxでは、テクニカル・プレビューとして次の項目を使用できます。リストされている項目の一部はRed Hat Compatible Kernel (RHCK)に適用され、UEKですでに使用可能である場合があります。
KTLS
LinuxカーネルTLS (KTLS)は、AES-GCM暗号のTLSレコードを処理します。KTLSは、この機能をサポートするNICにTLSレコードの暗号化をオフロードするためのインタフェースも提供します。
コンパイル時にenable-ktls
構成オプションを使用すると、OpenSSL 3.0でKTLSを使用できます。
更新されたgnutls
パッケージでは、暗号化されたチャネルでデータ転送を高速化するためにKTLSを使用できます。KTLSを有効にするには、modprobe
コマンドを使用してtls.ko
カーネル・モジュールを追加し、システム全体の暗号化ポリシーの新しい構成ファイル/etc/crypto-policies/local.d/gnutls-KTLS.txt
を、次の内容で作成します:
[global] ktls = true
AES-GCM暗号スイートのセキュリティに影響するため、gnutls
でTLS KeyUpdate
メッセージを介してトラフィック・キーを更新することはできません。
SGX
Intel®社のSoftware Guard Extensions (SGX)は、ソフトウェア・コードとデータを開示および変更から保護します。現在、RHCKではSGX v1およびv1.5が有効です。
SGXはUEKでサポートされています。
DAX
直接アクセス(DAX)は、ext4
およびXFSファイル・システムで利用できます。これにより、アプリケーションは、そのアドレス空間に永続メモリーを直接マップできます。DAXは、利用可能な永続メモリー(通常はNVDIMM)を持つシステムで使用できます。
SEVおよびSEV-ES
Secure Encrypted Virtualization (SEV)機能は、KVMハイパーバイザを使用するAMD EPYCホスト・マシンに用意されています。これは、仮想マシンのメモリーを暗号化して、ホストによるアクセスからVMを保護するものです。
SEVの拡張された暗号化状態バージョン(SEV-ES)では、VMの実行が停止したときにすべてのCPUレジスタの内容を暗号化するため、ホストによるVMのCPUレジスタの変更や、そのレジスタからの情報の読取りが防止されます。
SEVはUEKでサポートされています。
WireGuard
WireGuardは、セキュリティ機能が向上する、簡単に構成できるVPNソリューションです。
WireGuardはUEKで完全にサポートされています。Oracle LinuxでのWireGuardの使用の詳細は、Oracle Linux: 仮想プライベート・ネットワークの構成を参照してください。