Teilen über

Vertrauenswürdiger Start für Azure VMware Solution

  • Artikel

In diesem Artikel erfahren Sie mehr über die vertrauenswürdige Einführung und das Konfigurieren von Virtual Trusted Platform Module (vTPM) auf virtuellen Computern in der Azure VMware-Lösung. Der vertrauenswürdige Start ist eine umfassende Sicherheitslösung, die drei Schlüsselkomponenten umfasst: sicherer Start, Virtual Trusted Platform Module (vTPM) und virtualisierungsbasierte Sicherheit (VBS). Jede dieser Komponenten spielt eine wichtige Rolle bei der Stärkung des Sicherheitsstatus von VMs.

Diagramm mit den drei Säulen des vertrauenswürdigen Starts, des sicheren Starts, des Moduls für virtuelle vertrauenswürdige Plattform und der virtualisierungsbasierten Sicherheit.

Vorteile

• Sicheres Bereitstellen von virtuellen Computern mit überprüften Bootloader, Betriebssystemkernels und Treibern.

• Sicheres Schützen von Schlüsseln, Zertifikaten und Geheimnissen auf den VMs

• Einblicke und Vertrauen in die Integrität der gesamten Startkette

• Sicherstellen der Vertrauenswürdigkeit und Überprüfbarkeit von Workloads

Sicherer Start

Der sichere Start ist die erste Verteidigungslinie beim vertrauenswürdigen Start. Er stellt einen „Vertrauensanker“ für VMs her, indem sichergestellt wird, dass nur signierte Betriebssysteme und Treiber gestartet werden dürfen. Dadurch wird verhindert, dass schadsoftwarebasierte Rootkits und Bootkits installiert werden, was die Sicherheit des gesamten Systems beeinträchtigen kann. Wenn der sichere Start aktiviert ist, muss jeder Aspekt des Startvorgangs vom Booloader bis hin zum Kernel und den Kerneltreibern von vertrauenswürdigen Herausgebern digital signiert werden. Dadurch wird ein robuster Schutz vor nicht autorisierten Änderungen erstellt und sichergestellt, dass der virtuelle Computer in einem sicheren und vertrauenswürdigen Zustand gestartet wird.

Virtual Trusted Platform Module (vTPM)

Bei vTPM handelt es sich um eine virtualisierte Version eines TPM-Hardwaregeräts (Trusted Platform Module) mit Version 2.0. Dies dient als dedizierter sicherer Tresor zum Speichern von Schlüsseln, Zertifikaten und Geheimnissen. Was vTPM unterscheidet, ist die Fähigkeit, in einer sicheren Umgebung außerhalb der Reichweite eines virtuellen Computers zu arbeiten, wodurch es manipulationssicher und hochsicher wird. Eine der wichtigsten Funktionen von vTPM sind Nachweise. Damit wird die gesamte Startkette eines virtuellen Computers gemessen, einschließlich UEFI, Betriebssystem, Systemkomponenten und Treibern, um zu zertifizieren, dass der virtuelle Computer sicher gestartet wurde. Dieser Nachweismechanismus ist für die Überprüfung der Integrität von VMs von großem Wert und stellt sicher, dass sie nicht kompromittiert wurden.

Virtualisierungsbasierte Sicherheit (VBS)

Virtualisierungsbasierte Sicherheit (VBS) ist das letzte Teil des Puzzles Trusted Launch. Dies nutzt den Hypervisor, um isolierte, sichere Speicherbereiche innerhalb der VM zu erstellen. VBS verwendet die Virtualisierung, um die Systemsicherheit zu verbessern, indem ein isoliertes, hypervisorbeschränktes, spezialisiertes Subsystem erstellt wird. Es bietet Schutz vor nicht autorisiertem Zugriff auf Anmeldeinformationen, verhindert, dass Schadsoftware im Windows-System ausgeführt wird, und stellt sicher, dass ab dem Bootloader nur vertrauenswürdiger Code ausgeführt wird.

Konfigurieren des Virtual Trusted Platform Module (vTPM) auf virtuellen Computern mit Azure VMware Solution

In diesem Abschnitt wird veranschaulicht, wie Sie das Virtual Trusted Platform Module (vTPM) auf einem virtuellen VMware vSphere-Computer (Virtual Machine, VM) aktivieren, der in der Azure VMware Solution ausgeführt wird.

Ein Virtual Trusted Platform Module (vTPM) in VMware vSphere ist ein virtuelles Gegenstück eines physischen TPM 2.0-Chips mit VM-Verschlüsselung. Es stellt dieselben Funktionen wie ein physisches TPM bereit, funktioniert jedoch innerhalb von virtuellen Computern. Jeder virtuelle Computer kann über ein eigenes eindeutiges und isoliertes vTPM verfügen, wodurch vertrauliche Informationen gesichert und die Systemintegrität verwaltet werden kann. Diese Einstellung ermöglicht virtuellen Computern das Anwenden von Sicherheitsfeatures wie BitLocker-Datenträgerverschlüsselung und die Authentifizierung virtueller Hardwaregeräte, wodurch eine sicherere virtuelle Umgebung entsteht.

Voraussetzungen

Stellen Sie vor dem Konfigurieren des vTPM auf einem virtuellen Computer in Azure VMware Solution sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Der virtuelle Computer muss die EFI-Firmware verwenden.
  • Der virtuelle Computer muss die Hardwareversion 14 oder höher aufweisen.
  • Unterstützung des Gastbetriebssystems: Linux, Windows Server 2008 und höher, Windows 7 und höher.

Wichtig

Kunden müssen keinen wichtigen Anbieter für die Verwendung des vTPM mit Azure VMware Solution konfigurieren. Azure VMware Solution stellt bereits wichtige Anbieter für jede Umgebung bereit und verwaltet sie.

Vorgehensweise beim Konfigurieren des vTPM

Führen Sie die folgenden Schritte aus, um das vTPM auf einem virtuellen Computer in Azure VMware Solution zu konfigurieren:

  1. Verbinden Sie Ihren vCenter Server mithilfe des vSphere-Clients.

  2. Klicken Sie im Bestand mit der rechten Maustaste auf den virtuellen Computer, den Sie ändern möchten, und wählen Sie die Option „Einstellungen bearbeiten“ aus.

Abbildung, die zeigt, wie ein vTPM auf einem virtuellen Computer in Azure VMware Solution aktiviert wird.

  1. Klicken Sie im Dialogfeld „Einstellungen bearbeiten“ auf die Option „Neues Gerät hinzufügen“, und wählen Sie „Trusted Platform Module“ aus.

  2. Klicken Sie auf „OK“. Auf der Registerkarte „Zusammenfassung“ des virtuellen Computers wird das Virtual Trusted Platform Module im Bereich „VM-Hardware“ angezeigt.

Wichtig

Auf VMware vSphere 7 erstellt das Klonen eines virtuellen Computers ein genaues Replikat des virtuellen Computers und des vTPM. VMware vSphere 8 bietet Optionen zum Kopieren oder Ersetzen des TPM, sodass unterschiedliche Anwendungsfälle besser gehandhabt werden können.

Nicht unterstützte Szenarien

Die Migration von virtuellen Computern mit vTPM wird von einigen Tools möglicherweise nicht unterstützt. Überprüfen Sie die Dokumentation des Migrationstools. Wenn sie nicht unterstützt wird, finden Sie in der VMware-Dokumentation Anweisungen, um vTPM sicher zu deaktivieren und nach der Migration erneut zu aktivieren.

Weitere Informationen

Sichern virtueller Computer mit virtual Trusted Platform Module

Was ist ein Virtual Trusted Platform Module

vSphere Virtual TPM (vTPM) Fragen und Antworten