VNF セキュアブートの有効化

セキュアブートは、Unified Extensible Firmware Interface(UEFI)標準の一部であり、OEM(Original Equipment Manufacturer)によって信頼されているソフトウェアのみを使用してデバイスを起動します。UEFI(Unified Extensible Firmware Interface)仕様は、受け入れ可能なデジタル署名を持たないソフトウェアのロードを防ぐセキュアブート方法を定義しています。デバイスが起動すると、ファームウェアはブートソフトウェアとオペレーティングシステムの署名をチェックします。署名が有効な場合、デバイスが起動し、ファームウェアがオペレーティングシステムに制御を渡します。

セキュアブート機能は、システムの起動プロセス中に悪意のあるソフトウェア アプリケーションと不正なオペレーティングシステムがシステムにロードされないようにします。セキュアブート機能を有効にすると、許可されたソフトウェア アプリケーションのみがデバイスから起動します。この機能により、デバイス上で起動するソフトウェアアプリケーションがシスコによって認定されていることを確認できます。セキュアなコンピューティングシステムによって、システム上の意図したソフトウェアがマルウェアや改ざんされたソフトウェアを使用せずに実行されるようにします。

システムブートモードとブートローダーのバージョンを表示するには、show platform software system boot コマンドを実行します。 


Router#show platform software system boot
Boot mode: EFI
Bootloader version: 2.0

機能制限

  • 次のセキュアブート環境がサポートされています。

    • ESXi バージョン 6.5 以上

    • オープンスタックライセンスを使用した KVM RHEL 7.5

    • NFVIS リリース 3.11 以降

  • EFI ファームウェアモードのみがセキュアブートをサポートします

  • GRUB2 および新しいディスク パーティション レイアウトが使用可能です


(注)  

各ハイパーバイザには、ゲスト VM のセキュアブートを可能にする固有のプロセスがあります。セキュアブートを有効にするには、ハイパーバイザ固有のマニュアルを参照してください。

セキュアブートを有効にするためのハイパーバイザ固有の一連の手順を以下におおまかに示します。

ESXi セキュアブートの設定

  • VM バージョン 13 以上を使用する ESXi 6. 5 以降のバージョンを使用して VM を作成します。EFI ファームウェアモードを選択するには、[VM Options] > [Boot Options] > [Firmware] > [EFI] の順に移動します。

  • 初回起動後、IOS プロンプトが完了したら、VM の電源をオフにします。

  • [Edit Settings] > [VM Options] > [Boot Options] > [Secure Boot] で EFI セキュアブートを有効にします。

  • VM の電源をオンにすると、VNF が安全に起動します。


重要

VM の作成後にファームウェアモードを(BIOS から EFI、またはその逆に)変更することはできません。

KVM セキュアブートの設定

NFVIS セキュアブートの設定

  • NFVIS 3.11 リリース以降にアップグレードします。

  • Cisco Catalyst 8000V EFI tarball を NFVIS リポジトリに登録します。

  • 登録された EFI イメージを使用して VM を作成します。

  • VM をセキュアブートします。