Lancement fiable pour Azure VMware Solution

Article
12/15/2024

Dans cet article, vous découvrez le lancement fiable et comment configurer un module de plateforme sécurisée virtuel (vTPM) sur des machines virtuelles dans Azure VMware Solution. Le lancement fiable est une solution de sécurité complète qui englobe trois composants clés : le démarrage sécurisé, le Module de plateforme sécurisée virtuel (vTPM) et la sécurité basée sur la virtualisation (VBS). Chacun de ces composants joue un rôle essentiel dans la fortification de l’état de la sécurité des machines virtuelles.

Avantages

• Déployer de manière sécurisée des machines virtuelles avec des chargeurs de démarrage, des noyaux de système d’exploitation et des pilotes vérifiés.

• Protéger efficacement les clés, les certificats et les secrets dans les machines virtuelles.

• Obtenir des insights et avoir confiance en l’intégrité de toute la chaîne de démarrage.

• S’assurer que les charges de travail sont approuvées et vérifiables.

Démarrage sécurisé

Le démarrage sécurisé est la première ligne de défense du lancement fiable. Il établit une « racine de confiance » pour les machines virtuelles en s’assurant que seuls les systèmes d’exploitation et les pilotes signés sont autorisés à démarrer. Cela empêche l’installation de rootkits et de bootkits basés sur des programmes malveillants qui peuvent compromettre la sécurité de l’ensemble du système. Une fois le démarrage sécurisé activé, tous les aspects du processus de démarrage, du chargeur de démarrage au noyau et aux pilotes de noyau, doivent être signés numériquement par les éditeurs approuvés. Il en résulte la création d’un bouclier robuste contre les modifications non autorisées, ce qui garantit que la machine virtuelle démarre dans un état sécurisé et approuvé.

Module de plateforme sécurisée virtuelle (vTPM)

Le module vTPM est une version virtualisée d’un Module de plateforme sécurisée (TPM 2.0) matériel. Il sert de coffre sécurisé dédié pour stocker les clés, les certificats et les secrets. Le module vTPM se distingue par sa capacité à fonctionner dans un environnement sécurisé hors de portée de toute machine virtuelle, ce qui le rend inviolable et hautement sécurisé. L’une des fonctions clés de vTPM est l’attestation. Elle mesure l’ensemble de la chaîne de démarrage d’une machine virtuelle, y compris l’interface UEFI, le système d’exploitation, les composants système et les pilotes, pour certifier que la machine virtuelle a démarré en toute sécurité. Ce mécanisme d’attestation est très utile pour vérifier l’intégrité des machines virtuelles et s’assurer qu’elles n’ont pas été compromises.

Sécurité basée sur la virtualisation (VBS)

La sécurité basée sur la virtualisation (VBS) est la dernière pièce du puzzle du lancement fiable. Elle tire profit de l’hyperviseur pour créer des régions de mémoire isolées et sécurisées au sein de la machine virtuelle. VBS utilise la virtualisation pour améliorer la sécurité du système en créant un sous-système isolé, restreint à l’hyperviseur et spécialisé. Elle offre une protection contre l’accès non autorisé des informations d’identification, empêche l’exécution de programmes malveillants sur le système Windows et garantit l’exécution de code approuvé à partir du chargeur de démarrage.

Configurer le Module de plateforme sécurisée virtuel (vTPM) sur des machines virtuelles avec Azure VMware Solution

Cet article montre comment activer le module de plateforme sécurisée virtuel (vTPM) dans une machine virtuelle VMware vSphere exécutée dans Azure VMware Solution.

Un Module de plateforme sécurisée virtuel (vTPM) dans VMware vSphere est l’équivalent virtuel d’une puce TPM physique 2.0, en utilisant le chiffrement des machines virtuelles. Il fournit les mêmes fonctionnalités qu’un module TPM physique, mais fonctionne dans des machines virtuelles. Chaque machine virtuelle peut avoir son propre module vTPM unique et isolé, ce qui permet de sécuriser les informations sensibles et de maintenir l’intégrité du système. Ce paramètre permet aux machines virtuelles d’appliquer des fonctionnalités de sécurité telles que le chiffrement de disque BitLocker et d’authentifier les appareils matériels virtuels, créant ainsi un environnement virtuel plus sécurisé.

Prérequis

Avant de configurer vTPM sur une machine virtuelle dans Azure VMware Solution, vérifiez que les prérequis suivants sont en place :

La machine virtuelle doit utiliser le microprogramme EFI.
La version du matériel de la machine virtuelle doit être la version 14 ou ultérieure.
Prise en charge du système d’exploitation invité : Linux, Windows Server 2008 et ultérieur, Windows 7 et ultérieur.

Important

Les clients n’ont pas besoin de configurer un fournisseur de clés pour utiliser le module vTPM avec Azure VMware Solution. Azure VMware Solution fournit et gère déjà les fournisseurs de clés pour chaque environnement.

Comment configurer le module vTPM

Pour configurer le module vTPM sur une machine virtuelle dans Azure VMware Solution, suivez ces étapes :

Connectez-vous à vCenter Server à l’aide du client vSphere.
Dans l’inventaire, cliquez avec le bouton droit sur la machine virtuelle à modifier et sélectionnez « Modifier les paramètres ».

Dans la boîte de dialogue Modifier les paramètres, cliquez sur « Ajouter un nouvel appareil » et choisissez « Module de plateforme sécurisée ».
Cliquez sur « OK ». L’onglet Résumé de la machine virtuelle affiche le Module de plateforme sécurisée virtuel dans le volet Matériel de la machine virtuelle.

Important

Sur VMware vSphere 7, le clonage d’une machine virtuelle crée une réplique exacte de la machine virtuelle et du module vTPM. VMware vSphere 8 présente des options pour copier ou remplacer le module TPM, ce qui permet une meilleure gestion des différents cas d’usage.

Scénarios non pris en charge

La migration de machines virtuelles avec vTPM peut ne pas être prise en charge par certains outils. Consultez la documentation de l’outil de migration. Si elle n’est pas prise en charge, vous pouvez suivre la documentation de VMware pour désactiver vTPM en toute sécurité et le réactiver après la migration.