セキュアブート機能は、コントローラの起動プロセス中に悪意のあるソフトウェアアプリケーションと不正なオペレーティングシステムがコントローラにロードされないようにします。セキュアブート機能が有効な場合、許可されたソフトウェアアプリケーションのみがコントローラから起動します。
この機能により、コントローラ上で起動するソフトウェアアプリケーションがシスコによって認定されていることが保証されます。セキュアなコンピューティングシステムによって、コントローラ上の意図したソフトウェアがマルウェアや改ざんされたソフトウェアを伴わずに実行されるようにします。Unified
Extensible Firmware Interface(UEFI)仕様は、受け入れ可能なデジタル署名を持たないソフトウェアのロードを防ぐセキュアブート方法を定義しています。
セキュアブートモードとブートローダのバージョンを表示するには、show platform software system boot コマンドを使用します。
Device# show platform software system boot
Boot mode: EFI or EFI Secure
Bootloader version: 3.3
ガイドライン
-
次のセキュアブート環境がサポートされています。
-
EFI ファームウェアモードのみがセキュアブート機能をサポートします。
-
この機能は、Cisco IOS XE Bengaluru 17.6 リリースで作成された VM でサポートされます。
-
GRUB3 および新しいディスクパーティションレイアウトは、Cisco IOS XE Bengaluru 17.6 リリース以降で使用できます。
(注) |
Cisco IOS XE Bengaluru 17.6 リリースより前に作成された VM は、BIOS モードのみをサポートします。
|
(注) |
VM が1 7.6 ISO または OVA イメージを使用してインストールされている場合、17.3.4 へのダウングレードは起動時に次のエラーメッセージで失敗します。
IOSXE image not compatible with installation.Failing boot..
|
(注) |
各ハイパーバイザには、ゲスト VM のセキュアブートを可能にする固有のプロセスがあります。セキュアブートを有効にするには、関連するハイパーバイザのマニュアルを参照してください。セキュアブートを有効にするためのハイパーバイザ固有の一連の手順を以下におおまかに示します。
|
ESXi セキュアブートの設定
-
VM バージョン 13 を使用する ESXi バージョン 6. 5 以降を使用して VM を作成します。
-
次の手順を実行して、EFI ファームウェアモードを選択します。
-
の順に移動します。
[Edit Time Settings] ページが表示されます。
-
の順に移動します。
-
[Choose which firmware should be used to boot the virtual machine] ドロップダウンリストから、[EFI] オプションを選択します。
-
[保存(Save)] をクリックします。
-
VM の電源をオンにしてブートを初期化し、IOS プロンプトが完了するまで待ちます。
-
VM の電源をオフにします。
-
次の手順を実行して、EFI セキュアブートを有効にします。
-
の順に移動します。
[Edit Time Settings] ページが表示されます。
-
の順に移動します。
-
[Whether or not to enable UEFI secure boot for this VM] チェックボックスをオンにして、EFI セキュアブートを有効にします。
-
[保存(Save)] をクリックします。
-
VM の電源をオンにすると、VNF が安全に起動します。
NFVIS セキュアブートの設定
-
NFVIS 3.11 リリース以降にアップグレードします。
-
ISRv EFI tarball を NFVIS リポジトリに登録します。
-
登録された EFI イメージを使用して VM を作成します。
-
VM をセキュアブートします。
(注) |
セキュアブートはデフォルトで無効になっています。セキュアブートを有効にするには、CIMC からファームウェア設定を変更する必要があります。セキュアブートは、別の UEFI パーティションからブートする必要があります。
|
セキュアブートを有効にするには、次の手順を実行します。
-
CIMC にログインし、show bios detail コマンドを使用して BIOS バージョンを表示します。
ENCS# scope bios
ENCS/bios # show detail
BIOS:
BIOS Version: " ENCS54_2.6 (Build Date: 07/12/2018)"
Boot Order: EFI
FW Update/Recovery Status: Done, OK
Active BIOS on next reboot: main
UEFI Secure Boot: disabled
ENCS/bios #
-
セキュアブートを有効にします。
ENCS/bios # set secure-boot enable
Setting Value : enable
Commit Pending.
ENCS/bios *# commit
ENCS/bios # show detail
BIOS:
BIOS Version: "ENCS54_2.6 (Build Date: 07/12/2018)"
Boot Order: EFI
FW Update/Recovery Status: None, OK
Active BIOS on next reboot: main
UEFI Secure Boot: enabled
ENCS/bios #
(注) |
レガシーブート、UEFI ブート、および UEFI セキュアブートの 3 つのブートモードがあります。セキュアブートは、UEFI パーティションがあるディスクでのみ使用できます。
|