Inicio seguro para la Azure VMware Solution
En este artículo, obtendrá información sobre el inicio seguro y cómo configurar el Módulo de plataforma segura virtual (vTPM) en Virtual Machines de Azure VMware Solution. El inicio seguro es una solución de seguridad integral que engloba tres componentes clave: Secure Boot, Módulo de plataforma segura (vTPM) y Seguridad basada en la virtualización (VBS). Cada uno de estos componentes desempeña un papel fundamental a la hora de reforzar la seguridad de las VMs.
Ventajas
• Implemente de forma segura las máquinas virtuales con gestores de arranque, núcleos de sistemas operativos y controladores verificados.
• Proteger y asegurar claves, certificados y secretos en las VMs.
• Obtener información y confianza sobre la integridad de toda la cadena de arranque.
• Garantizar que las cargas de trabajo sean fiables y verificables.
Arranque seguro
El Inicio seguro es la primera línea de defensa en el inicio de confianza. Establece una "raíz de confianza" para las VMs al garantizar que solo se permite el arranque de sistemas operativos y controladores firmados. Esto evita la instalación de rootkits y bootkits basados en malware, que pueden comprometer la seguridad de todo el sistema. Con el inicio seguro activado, todos los aspectos del proceso de arranque, desde el gestor de arranque hasta el kernel y los controladores del kernel, deben estar firmados digitalmente por editores de confianza. Esto crea un sólido escudo contra modificaciones no autorizadas y garantiza que la máquina virtual se inicie en un estado seguro y de confianza.
Módulo de plataforma segura virtual (vTPM)
El vTPM es una versión virtualizada de un dispositivo hardware de Módulo de plataforma segura (TPM) 2.0. Sirve como una bóveda segura dedicada para almacenar claves, certificados y secretos. Lo que diferencia a vTPM es su capacidad para operar en un entorno seguro fuera del alcance de cualquier máquina virtual, lo que la hace resistente a manipulaciones y altamente segura. Una de las funciones clave de vTPM es la atestación. Mide toda la cadena de arranque de una máquina virtual, incluida la UEFI, el sistema operativo, los componentes del sistema y los controladores, para certificar que la máquina virtual arrancó de forma segura. Este mecanismo de atestación es inestimable para verificar la integridad de las VMs y garantizar que no se han visto comprometidas.
Seguridad basada en virtualización (VBS)
La seguridad basada en virtualización (VBS) es la última parte del rompecabezas de inicio seguro. Aprovecha el hipervisor para crear regiones de memoria aisladas y seguras dentro de la VM. VBS utiliza la virtualización para mejorar la seguridad del sistema mediante la creación de un subsistema especializado, aislado y restringido por el hipervisor. Proporciona protección contra el acceso no autorizado de credenciales, evita que el malware se ejecute en el sistema Windows y asegura que solo el código de confianza se ejecuta desde el gestor de arranque en adelante.
Configuración del módulo de plataforma segura virtual (vTPM) en máquinas virtuales con Azure VMware Solution
En este artículo se muestra cómo habilitar el Módulo de plataforma segura virtual (vTPM) en una máquina virtual (VM) de VMware vSphere que se ejecuta en Azure VMware Solution.
Un módulo de plataforma segura virtual (vTPM) en VMware vSphere es un homólogo virtual de un chip físico TPM 2.0, mediante el cifrado de máquina virtual. Proporciona las mismas funcionalidades que un TPM físico, pero funciona dentro de las máquinas virtuales (VMs). Cada máquina virtual puede tener su propio vTPM único y aislado, lo que ayuda a proteger la información confidencial y mantener la integridad del sistema. Esta configuración permite que las máquinas virtuales apliquen características de seguridad, como el cifrado de disco BitLocker y autenticar dispositivos de hardware virtual, lo que crea un entorno virtual más seguro.
Requisitos previos
Antes de configurar vTPM en una VM en Azure VMware Solution, asegúrese de que se cumplen los siguientes requisitos previos:
- La máquina virtual debe usar el firmware EFI.
- La máquina virtual debe estar en la versión de hardware 14 o posterior.
- Compatible con el sistema operativo invitado: Linux, Windows Server 2008 y versiones posteriores, Windows 7 y versiones posteriores.
Importante
Los clientes no necesitan configurar un proveedor de claves para usar vTPM con Azure VMware Solution. Azure VMware Solution ya proporciona y administra proveedores de claves para cada entorno.
Configuración de vTPM
Para configurar vTPM en una máquina virtual en Azure VMware Solution, siga estos pasos:
Conéctese a vCenter Server mediante vSphere Client.
En el inventario, haga clic con el botón derecho en la máquina virtual que desea modificar y seleccione "Editar configuración".
En el cuadro de diálogo Editar configuración, haga clic en "Agregar nuevo dispositivo" y elija "Módulo de plataforma segura".
Haga clic en "Aceptar". La pestaña Resumen de la máquina virtual muestra el módulo de plataforma segura virtual en el panel Hardware de la máquina virtual.
Importante
En VMware vSphere 7, la clonación de una máquina virtual crea una réplica exacta de la máquina virtual y vTPM. VMware vSphere 8 presenta opciones para copiar o reemplazar el TPM, lo que permite un mejor control de los distintos casos de uso.
Escenarios no admitidos
Es posible que algunas herramientas no admitan la migración de las VMs con vTPM. Compruebe la documentación de la herramienta de migración. Si no es compatible, puede seguir la documentación de VMware para desactivar vTPM de forma segura y volver a activarlo después de la migración.
Más información
Protección de máquinas virtuales con el Módulo de plataforma segura virtual