3 テクノロジ・プレビュー

このリリースのOracle Linuxでは、テクニカル・プレビューとして次の項目を使用できます。リストされている項目の一部はRed Hat Compatible Kernel (RHCK)に適用され、UEKですでに使用可能である場合があります。

KTLS

LinuxカーネルTLS (KTLS)は、AES-GCM暗号のTLSレコードを処理します。KTLSは、この機能をサポートするNICにTLSレコードの暗号化をオフロードするためのインタフェースも提供します。

コンパイル時にenable-ktls構成オプションを使用すると、OpenSSL 3.0でKTLSを使用できます。

更新されたgnutlsパッケージでは、暗号化されたチャネルでデータ転送を高速化するためにKTLSを使用できます。KTLSを有効にするには、modprobeコマンドを使用してtls.koカーネル・モジュールを追加し、システム全体の暗号化ポリシーの新しい構成ファイル/etc/crypto-policies/local.d/gnutls-KTLS.txtを、次の内容で作成します:

[global]
ktls = true

AES-GCM暗号スイートのセキュリティに影響するため、gnutlsでTLS KeyUpdateメッセージを介してトラフィック・キーを更新することはできません。

SGX

Intel®社のSoftware Guard Extensions (SGX)は、ソフトウェア・コードとデータを開示および変更から保護します。現在、RHCKではSGX v1およびv1.5が有効です。

SGXはUEKでサポートされています。

DAX

直接アクセス(DAX)は、ext4およびXFSファイル・システムで利用できます。これにより、アプリケーションは、そのアドレス空間に永続メモリーを直接マップできます。DAXは、利用可能な永続メモリー(通常はNVDIMM)を持つシステムで使用できます。

SEVおよびSEV-ES

Secure Encrypted Virtualization (SEV)機能は、KVMハイパーバイザを使用するAMD EPYCホスト・マシンに用意されています。これは、仮想マシンのメモリーを暗号化して、ホストによるアクセスからVMを保護するものです。

SEVの拡張された暗号化状態バージョン(SEV-ES)では、VMの実行が停止したときにすべてのCPUレジスタの内容を暗号化するため、ホストによるVMのCPUレジスタの変更や、そのレジスタからの情報の読取りが防止されます。

SEVはUEKでサポートされています。

WireGuard

WireGuardは、セキュリティ機能が向上する、簡単に構成できるVPNソリューションです。

WireGuardはUEKで完全にサポートされています。Oracle LinuxでのWireGuardの使用の詳細は、Oracle Linux: 仮想プライベート・ネットワークの構成を参照してください。