Microsoft は、Azure IaaS プラットフォームで仮想信頼プラットフォーム モジュールを無料で提供することを明らかにしました。
「仮想マシン向け Azure Trusted Launch」と名付けられ、3 月 8 日にプレビューとしてリリースされたこの新サービスについて、Microsoft の Azure 担当 CTO である Mark Russinovich 氏は、「この新サービスにより、管理者は検証済みおよび署名済みのブートローダー、OS カーネル、および Trusted Launch 仮想トラステッド プラットフォーム モジュール (vTPM) を活用したブート ポリシーを使用して仮想マシンを展開し、ブートが侵害されたかどうかを測定および証明できるようになります」と述べています。
これらはすべてオンプレミスでは非常に馴染みのある機能です。TPMは10年以上前から存在し、現代のサーバーではほぼ標準装備となっています。Googleは2018年半ばに仮想TPMをクラウドに導入し、2020年4月にはデフォルトのサーバー構成としました。
VMware は、強化された vSphere セキュリティ ガイドですべてのサーバーに TPM を強く推奨しています。
続きを読む
Microsoft は、オペレーティング システムに侵入するのではなく、ブート プロセス中にサーバーを侵害しようとするブートキット、ルートキット、その他の悪質なプログラムの活動を困難にするためにこれを導入しました。
現時点では、Trusted Launch を利用できるのは新規に作成された VM のみです。Microsoft の製品ドキュメントによると、このサービスは一般提供開始を目指しており、既存の VM にも適用可能になるとのことです。
サービスが起動中に疑わしいアクティビティを検出すると、標準レベルの Azure セキュリティ センターで中程度の重大度のアラートがユーザーに表示されます。
このサービスはすべてのユーザー向けではありません。HBv3、Lsv2シリーズ、Mシリーズ、Mv2シリーズ、NDv4シリーズ、NVv4シリーズではご利用いただけません。また、新しいセキュリティ機能を利用するには、RHEL 8.3、SUSE 15 SP2、Ubuntu 20.04または18.04 LTS、Windows Server 2019または2016、Windows 10 ProまたはEnterpriseを実行している必要があります。
The Register は、デスクトップ OS が組み込まれることで、仮想デスクトップで BitLocker を使用することがより実用的になるだろうと予測しています。®
