Sdílet prostřednictvím

Důvěryhodné spuštění pro řešení Azure VMware

  • Článek

V tomto článku se dozvíte o důvěryhodném spuštění a konfiguraci virtuálního modulu vTPM (Virtual Trusted Platform Module) na virtuálních počítačích ve službě Azure VMware Solution. Trusted Launch je komplexní řešení zabezpečení, které zahrnuje tři klíčové komponenty: Zabezpečené spouštění, Virtual Trusted Platform Module (vTPM) a zabezpečení založené na virtualizaci (VBS). Každá z těchto komponent hraje zásadní roli při zajišťování stavu zabezpečení virtuálních počítačů.

Diagram znázorňující tři pilíře důvěryhodného spuštění, zabezpečeného spouštění, modulu Virtual Trusted Platform Module a zabezpečení založeného na virtualizaci

Zaměstnanecké výhody

• Bezpečně nasaďte virtuální počítače s ověřenými zavaděči spouštění, jádry operačního systému a ovladači.

• Bezpečně chránit klíče, certifikáty a tajné kódy ve virtuálních počítačích.

• Získejte přehledy a jistotu o integritě celého spouštěcího řetězce.

• Ujistěte se, že úlohy jsou důvěryhodné a ověřitelné.

Zabezpečené spouštění

Zabezpečené spouštění je první linie obrany v důvěryhodném startu. Vytvoří "kořen důvěryhodnosti" pro virtuální počítače tím, že zajistí, že se můžou spouštět jenom podepsané operační systémy a ovladače. To brání instalaci rootkitů a bootkitů založených na malwaru, což může ohrozit zabezpečení celého systému. Při povoleném zabezpečeném spouštění musí být každý aspekt spouštěcího procesu od zavaděče až po jádra a ovladače jádra digitálně podepsaný důvěryhodnými vydavateli. Tím se vytvoří robustní štít proti neoprávněným úpravám a zajistí, že se virtuální počítač spustí v zabezpečeném a důvěryhodném stavu.

Virtual Trusted Platform Module (vTPM)

VTPM je virtualizovaná verze hardwarového zařízení TPM (Trusted Platform Module) 2.0. Slouží jako vyhrazený trezor zabezpečení pro ukládání klíčů, certifikátů a tajných kódů. To, co vTPM od sebe nastaví, je jeho schopnost pracovat v zabezpečeném prostředí mimo dosah jakéhokoli virtuálního počítače, takže je odolná proti manipulaci a vysoce zabezpečená. Jednou z klíčových funkcí virtuálního počítače vTPM je ověření identity. Měří celý spouštěcí řetězec virtuálního počítače, včetně rozhraní UEFI, operačního systému, systémových komponent a ovladačů, a potvrzuje, že se virtuální počítač bezpečně spouštěl. Tento mechanismus ověření identity je neocenitelný pro ověření integrity virtuálních počítačů a zajištění, že nedošlo k ohrožení zabezpečení.

zabezpečení na základě virtualizace (VBS)

Zabezpečení založené na virtualizaci (VBS) je posledním dílem puzzle Trusted Launch. Využívá hypervisor k vytvoření izolovaných a zabezpečených oblastí paměti v rámci virtuálního počítače. VBS využívá virtualizaci k vylepšení zabezpečení systému vytvořením izolovaného specializovaného subsystému s omezeným hypervisorem. Poskytuje ochranu před neoprávněným přístupem k přihlašovacím údajům, zabraňuje malwaru v systému Windows a zajišťuje, aby se z bootloaderu spustil pouze důvěryhodný kód.

Konfigurace virtuálního modulu vTPM (Virtual Trusted Platform Module) na virtuálních počítačích pomocí azure VMware Solution

Tato část ukazuje, jak povolit virtuální čip vTPM (Trusted Platform Module) ve virtuálním počítači VMware vSphere spuštěném v Řešení Azure VMware.

Virtuální čip TpM 2.0 (vTPM) ve VMware vSphere je virtuální protějšek fyzického čipu TPM 2.0, který využívá šifrování virtuálních počítačů. Poskytuje stejné funkce jako fyzický čip TPM, ale funguje v rámci virtuálních počítačů. Každý virtuální počítač může mít svůj vlastní jedinečný a izolovaný virtuální počítač vTPM, který pomáhá zabezpečit citlivé informace a udržovat integritu systému. Toto nastavení umožňuje virtuálním počítačům používat funkce zabezpečení, jako je šifrování disků BitLockeru a ověřování virtuálních hardwarových zařízení a vytvoření bezpečnějšího virtuálního prostředí.

Požadavky

Před konfigurací virtuálního počítače na virtuálním počítači ve službě Azure VMware Solution se ujistěte, že jsou splněné následující požadavky:

  • Virtuální počítač musí používat firmware EFI.
  • Virtuální počítač musí být ve verzi 14 nebo novější.
  • Podpora hostovaného operačního systému: Linux, Windows Server 2008 a novější, Windows 7 a novější.

Důležité

Zákazníci nemusí konfigurovat zprostředkovatele klíčů tak, aby používali VTPM se službou Azure VMware Solution. Azure VMware Solution už poskytuje a spravuje klíčové zprostředkovatele pro každé prostředí.

Konfigurace virtuálního počítače vTPM

Pokud chcete nakonfigurovat virtuální počítač vTPM na virtuálním počítači ve službě Azure VMware Solution, postupujte takto:

  1. Připojte se k vCenter Serveru pomocí klienta vSphere.

  2. V inventáři klikněte pravým tlačítkem myši na virtuální počítač, který chcete upravit, a vyberte Upravit nastavení.

Diagram znázorňující, jak na virtuálním počítači ve službě Azure VMware Solution povolit virtuální počítač vTPM

  1. V dialogovém okně Upravit nastavení klikněte na Přidat nové zařízení a zvolte Trusted Platform Module.

  2. Klikněte na OK. Na kartě Souhrn virtuálního počítače se zobrazí modul Virtual Trusted Platform Module v podokně Hardware virtuálního počítače.

Důležité

Při klonování virtuálního počítače vMware vSphere 7 se vytvoří přesná replika virtuálního počítače i virtuálního počítače vTPM. VMware vSphere 8 zavádí možnosti kopírování nebo nahrazení čipu TPM, což umožňuje lepší zpracování různých případů použití.

Nepodporované scénáře

Některé nástroje nemusí podporovat migraci virtuálních počítačů s virtuálním heslem. Projděte si dokumentaci nástroje pro migraci. Pokud není podporovaná, můžete podle dokumentace VMware bezpečně zakázat vTPM a po migraci ho znovu povolit.

Více informací

Zabezpečení virtuálních počítačů pomocí modulu Virtual Trusted Platform Module

Co je modul Virtual Trusted Platform Module

Otázky a odpovědi na virtuální čip TPM (vSphere Virtual TPM)