Red Hat Summit16.8. IBM Z에서 IBM Secure Execution 설정
IBM Z 하드웨어를 사용하여 RHEL 8 호스트를 실행하는 경우 VM에 대한 IBM Secure Execution 기능을 구성하여 VM(가상 머신)의 보안을 개선할 수 있습니다.
IBM Secure Execution(보호된 가상화이라고도 함)을 사용하면 호스트 시스템이 VM의 상태 및 메모리 콘텐츠에 액세스할 수 없습니다. 따라서 호스트가 손상되어도 게스트 운영 체제를 공격하기 위한 벡터로 사용할 수 없습니다. 또한 Secure Execution을 사용하여 신뢰할 수 없는 호스트가 VM에서 중요한 정보를 얻지 못하도록 할 수 있습니다.
IBM Secure Execution를 활성화하여 IBM Z 호스트의 기존 VM을 보안 VM으로 변환할 수 있습니다.
프로덕션 환경 보안을 위해 워크로드를 더욱 안전하게 보호하는 방법을 설명하는 Secure Execution를 사용하여 워크로드를 완전히 보호하는 방법에 대한 IBM 설명서 를 참조하십시오.
사전 요구 사항
시스템 하드웨어는 다음 중 하나입니다.
- IBM z15 이상
- IBM LinuxONE III 이상
시스템에 대해 보안 실행 기능이 활성화되어 있습니다. 확인하려면 다음을 사용합니다.
grep facilities /proc/cpuinfo | grep 158
# grep facilities /proc/cpuinfo | grep 158Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령을 실행하면 CPU가 Secure Execution과 호환됩니다.
커널에는 보안 실행 지원이 포함됩니다. 확인하려면 다음을 사용합니다.
ls /sys/firmware | grep uv
# ls /sys/firmware | grep uvCopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령이 출력을 생성하는 경우 커널은 보안 실행을 지원합니다.
호스트 CPU 모델에는
압축 해제기능이 포함되어 있습니다. 확인하려면 다음을 사용합니다.virsh domcapabilities | grep unpack
# virsh domcapabilities | grep unpack <feature policy='require' name='unpack'/>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령이 위의 출력을 생성하는 경우 CPU 호스트 모델은 Secure Execution과 호환됩니다.
VM의 CPU 모드는
host-model로 설정되어 있습니다.virsh dumpxml <vm_name> | grep "<cpu mode='host-model'/>"
# virsh dumpxml <vm_name> | grep "<cpu mode='host-model'/>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령에서 출력을 생성하는 경우 VM의 CPU 모드가 올바르게 설정됩니다.
호스트에서 직접 VM 이미지를 수정하려는 경우
guestfs-tools패키지가 호스트에 설치됩니다.yum install guestfs-tools
# yum install guestfs-toolsCopy to Clipboard Copied! Toggle word wrap Toggle overflow - IBM Z 호스트 키 문서를 얻고 확인했습니다. 자세한 내용은 IBM 문서의 호스트 키 문서 확인을 참조하십시오.
절차
호스트에서 다음 단계를 수행합니다.
prot_virt=1커널 매개 변수를 호스트의 부팅 구성에 추가합니다.grubby --update-kernel=ALL --args="prot_virt=1"
# grubby --update-kernel=ALL --args="prot_virt=1"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 부팅 메뉴를 업데이트합니다.
# zipl
-
virsh edit를 사용하여 보안하려는 VM의 XML 구성을 수정합니다. <
;launchSecurity type="s390-pv"/>를 </devices> 줄 아래에 추가합니다. 예를 들면 다음과 같습니다.[...] </memballoon> </devices> <launchSecurity type="s390-pv"/> </domain>[...] </memballoon> </devices> <launchSecurity type="s390-pv"/> </domain>Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
구성의 <
devices> 섹션에virtio-rng장치( <rng model="virtio">)가 포함된 경우 <rng> </rng> 블록의 모든 행을 제거하십시오.
다음 섹션 중 하나에서 단계를 진행합니다. 게스트에 로그인하여 보안 실행을 위해 수동으로 구성하거나 스크립트 및 guestfs-tools 를 사용하여 호스트에서 직접 게스트 이미지를 구성할 수 있습니다.
보안 실행을 위해 VM 수동 구성
보호하려는 VM 의 게스트 운영 체제에서 다음 단계를 수행합니다.
매개 변수 파일을 생성합니다. 예를 들면 다음과 같습니다.
touch ~/secure-parameters
# touch ~/secure-parametersCopy to Clipboard Copied! Toggle word wrap Toggle overflow /boot/loader/entries디렉토리에서 최신 버전으로 부트 로더 항목을 식별합니다.ls /boot/loader/entries -l
# ls /boot/loader/entries -l [...] -rw-r--r--. 1 root root 281 Oct 9 15:51 3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 부트 로더 항목의 커널 옵션 행을 검색합니다.
cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf | grep options options root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap
# cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf | grep options options root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swapCopy to Clipboard Copied! Toggle word wrap Toggle overflow 생성된 매개 변수 파일에 options 행의 내용을 추가하고
swiotlb=262144를 추가합니다.echo "root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap swiotlb=262144" > ~/secure-parameters
# echo "root=/dev/mapper/rhel-root crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap swiotlb=262144" > ~/secure-parametersCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 IBM Secure Execution 이미지를 생성합니다.
예를 들어 다음은
secure생성합니다.-parameters 파일,보안 이미지를/boot/imageinitramfs-4.18.0초기 RAM 디스크 파일을 기반으로 /boot/secure--000201C048.crt 호스트 키 문서를 사용하여 /boot/vmlinuz-4.18.0-imggenprotimg -i /boot/vmlinuz-4.18.0-240.el8.s390x -r /boot/initramfs-4.18.0-240.el8.s390x.img -p ~/secure-parameters -k HKD-8651-00020089A8.crt -o /boot/secure-image
# genprotimg -i /boot/vmlinuz-4.18.0-240.el8.s390x -r /boot/initramfs-4.18.0-240.el8.s390x.img -p ~/secure-parameters -k HKD-8651-00020089A8.crt -o /boot/secure-imageCopy to Clipboard Copied! Toggle word wrap Toggle overflow genprotimg유틸리티를 사용하면 커널 매개 변수, 초기 RAM 디스크 및 부팅 이미지가 포함된 보안 이미지를 생성합니다.VM의 부팅 메뉴를 업데이트하여 보안 이미지에서 부팅합니다. 또한
initrd및옵션으로시작하는 행을 필수가 아니므로 제거합니다.예를 들어 RHEL 8.3 VM에서
/boot/loader/entries/디렉터리에서 부팅 메뉴를 편집할 수 있습니다.cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf title Red Hat Enterprise Linux 8.3 version 4.18.0-240.el8.s390x linux /boot/secure-image [...]
# cat /boot/loader/entries/3ab27a195c2849429927b00679db15c1-4.18.0-240.el8.s390x.conf title Red Hat Enterprise Linux 8.3 version 4.18.0-240.el8.s390x linux /boot/secure-image [...]Copy to Clipboard Copied! Toggle word wrap Toggle overflow 부팅 가능한 디스크 이미지를 생성합니다.
zipl -V
# zipl -VCopy to Clipboard Copied! Toggle word wrap Toggle overflow 보호되지 않은 원본 파일을 안전하게 제거합니다. 예를 들면 다음과 같습니다.
shred /boot/vmlinuz-4.18.0-240.el8.s390x shred /boot/initramfs-4.18.0-240.el8.s390x.img shred secure-parameters
# shred /boot/vmlinuz-4.18.0-240.el8.s390x # shred /boot/initramfs-4.18.0-240.el8.s390x.img # shred secure-parametersCopy to Clipboard Copied! Toggle word wrap Toggle overflow 원래 부팅 이미지, 초기 RAM 이미지 및 커널 매개 변수 파일은 보호되지 않으며 제거되지 않은 경우 Secure Execution이 활성화된 VM은 여전히 해킹 시도 또는 민감한 데이터 수집에 취약해질 수 있습니다.
호스트에서 직접 보안 실행을 위해 VM 구성
guestfs-tools 를 사용하여 수동으로 부팅하지 않고 기존 이미지를 수정할 수 있습니다. 그러나 테스트 및 개발 환경에서만 다음 예제를 사용하십시오. 프로덕션 환경 보안에 대한 자세한 내용은 보안 실행을 사용하여 워크로드를 완전히 보호하는 방법에 대한 IBM 설명서를 참조하십시오.
호스트에서 다음 단계를 수행합니다.
호스트 키 문서가 포함된 스크립트를 생성하고 보안 실행을 사용하도록 기존 VM을 구성합니다. 예를 들면 다음과 같습니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - VM이 종료되었는지 확인합니다.
guestfs-tools를 사용하여 기존 VM 이미지에 스크립트를 추가하고 처음 부팅할 때 실행되도록 표시합니다.virt-customize -a <vm_image_path> --selinux-relabel --firstboot <script_path>
# virt-customize -a <vm_image_path> --selinux-relabel --firstboot <script_path>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 추가된 스크립트를 사용하여 이미지에서 VM을 부팅합니다.
이 스크립트는 처음 부팅할 때 실행된 다음 VM을 다시 종료합니다. 결과적으로 VM은 이제 해당 호스트 키가 있는 호스트에서 Secure Execution를 사용하여 실행되도록 구성됩니다.
검증
호스트에서
virsh dumpxml유틸리티를 사용하여 보안 VM의 XML 구성을 확인합니다. 설정에는 <launchSecurity type="s390-pv"/> 요소와 <rng model="virtio"> 요소가 포함되어야 합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}