Xen 能够将虚拟可信平台模块 (vTPM) 附加到来宾 VM:http://wiki.xenproject.org/wiki/Virtual_Trusted_Platform_Module_(vTPM)。我想知道此功能是否有任何 Openstack 集成 - 例如托管 VM 是否可以配置为 vTPM?
我在这里看到了与 Hyper-V 类似的东西:
http://specs.openstack.org/openstack/nova-specs/specs/mitaka/approved/hyper-v-vtpm-devices.html
OpenStack 提供以下内容作为其中的一部分Cloud tenant threat mitigation:
通过以下过程:
在您可以使用 XenServer 运行 OpenStack 之前,您必须在适当的服务器上安装虚拟机管理程序。
Xen 是 1 类管理程序:当您的服务器启动时,Xen 是第一个运行的软件。因此,必须先安装 XenServer,然后再安装要运行 OpenStack 代码的操作系统。然后将 nova-compute 安装到主机上的专用虚拟机中。
虽然 XAPI 是支持 XenServer(及其已弃用的同级 XCP)的首选机制,但大多数现有 Xen 项目与 OpenStack 的集成是通过下面的 libvirt 完成的。
compute_driver = libvirt.LibvirtDriver
[libvirt]
virt_type = xen
还支持硬件 TPM:
我们的解决方案本质上模仿了人们如何下载软件并计算其 SHA-256 哈希值,并与其宣传的 SHA-256 哈希值进行比较以确定其合法性。它涉及使用由硬件、软件和固件组成的 Intel TXT。连接到平台的硬件称为可信平台模块 (TPM)[3],提供硬件信任根。TPM 上的固件用于计算安全哈希并将安全哈希保存到一组称为平台配置寄存器 (PCR) 的寄存器中,不同的寄存器包含不同的测量值。其他组件包括英特尔虚拟化技术、签名代码模块和称为 TBOOT 1的可信引导加载程序. 本质上,BIOS、选项 ROM 和内核/Ramdisk 都是在各种 PCR 中测量的。从裸机信任的角度来看,我们对 PCR 0-7(BIOS,选项 ROM)感兴趣。内核/Ramdisk 测量将取决于租户寻求在其裸机实例上启动的映像。PCR 值测试由 Open Attestation 服务 OAT[2] 提供。参考资料中的其他详细信息。
考虑到这些安全考虑:
在撰写本文时,很少有云在生产环境中使用安全启动技术。因此,这些技术仍然有些不成熟。我们建议在硬件选择方面仔细规划。例如,确保您拥有 TPM 和 Intel TXT 支持。然后验证节点硬件供应商如何填充 PCR 值。例如,哪些值可用于验证。通常,上表中软件上下文下列出的 PCR 值是云架构师可以直接控制的值。但即使这些也可能随着云中软件的升级而改变。配置管理应链接到 PCR 策略引擎,以确保验证始终是最新的。
参考