KVMインスタンスへのvTPMセキュリティの追加

仮想Trusted Platform Module (vTPM)セキュリティの使用に関する情報を次に示します。また、KVMインスタンスでvTPMセキュリティを有効にするための構成情報も含まれています。

vTPMセキュリティについて

仮想Trusted Platform Module (vTPM)は、物理的なTrusted Platform Module 2.0チップのソフトウェアベースの表現です。vTPMは、他の仮想デバイスと同様に機能し、乱数生成、アテステーション、キー生成などのセキュリティ関連の機能を提供します。KVMインスタンスに追加すると、vTPMにより、プライベートで他のゲストに公開されていないキーをゲストOSが作成および格納できます。KVMインスタンスが侵害され、vTPMが有効になっている場合、キーはKVMのゲストOSでのみ暗号化または署名に使用可能であるため、そのシークレットが侵害されるリスクは減少します。

vTPMは、既存のOracle Linux 8またはOracle Linux 9のKVMに追加できます。vTPMを有効にすると、KVMファイルは暗号化されますが、ディスクは暗号化されません。ただし、KVMおよびそのディスクの暗号化を明示的に追加することもできます。

前提条件

• 管理者権限。
• ホスト・システム上の既存のKVMインスタンス。

  詳細は、「作成: KVMインスタンス」を参照してください。

手順

vTPMソフトウェア・パッケージをインストールし、vTPMセキュリティ・プロパティを含めるようにゲストOS構成ファイルを編集するには、次の手順に従います。

1. vTPMソフトウェア・パッケージをインストールします。

   Yumを使用した構文の例。

   yum -y install swtpm libtpms swtpm-tools

2. KVMインスタンスを停止します。
   詳細は、「KVM: インスタンスの停止」を参照してください。
3. ゲストOSのXML構成ファイルにvTPM設定を追加するには、次の手順を実行します:
   1. virsh editコマンドを使用して、ゲストOSのXML構成を編集します。
      次に例を示します:

      virsh edit My_KVMGuest_Name                           

      ノート:

      virsh editコマンドでは、$EDITORシェル・パラメータで指定されたテキスト・エディタでXMLファイルが開きます。デフォルトでは、viエディタが設定されます。
   2. ゲストOSのXML構成ファイルを更新して、vTPMセキュリティ・プロパティを含めます。
      次に例を示します:

      <devices>
           ...
           </input>
           <input type='mouse' bus='ps2'/>
           <input type='keyboard' bus='ps2'/>
           <tpm model='tpm-crb'>
             <backend type='emulator' version='2.0'/>
           </tpm>
           <graphics type='vnc' port='-1' autoport='yes'>
             <listen type='address'/>
           </graphics>
           ...
      </devices>

      説明:

      • model='tpm-crb' – TPMモデル・タイプをコマンド・レスポンス・バッファ(CRB)に設定します。

        ノート:

        tpm-crbオプションは、version='2.0'を指定した場合にのみ使用できます。
      • type='emulator' – デバイス・タイプをエミュレータに設定します。
      • version='2.0' – TPMバージョンを2.0に設定します。

      ノート:

      Oracle Linux 8またはOracle Linux 9でKVMインスタンスを初めて作成する場合、virt-installコマンドの--tpmオプションを使用して、インストール時にTPMのエミュレートされたデバイス情報を指定することもできます。次に例を示します:

      virt-install --name MY_KVMGuest_ol8-tpm2 --memory 2048 --vcpus 2 \
      --disk path=/systest/images/My_KVMGuest_ol8-tpm2.qcow2,size=20 \
      --location /systest/iso/ol8.iso --os-variant ol8 \
      --network network=default --graphics vnc,listen=0.0.0.0 --tpm
      emulator,model=tpm-crb,version=2.0

   3. ゲストOSのXML構成の変更を保存します。
4. KVMインスタンスを起動します。
   詳細は、「KVM: インスタンスの起動」を参照してください。