Avvio attendibile per soluzione Azure VMware

In questo articolo verranno fornite informazioni sull'avvio attendibile e su come configurare Virtual Trusted Platform Module (vTPM) in Macchine virtuali in soluzione Azure VMware. Avvio attendibile è una soluzione di sicurezza completa che include tre componenti chiave: Avvio protetto, Virtual Trusted Platform Module (vTPM) e Sicurezza basata su virtualizzazione (VBS). Ognuno di questi componenti svolge un ruolo fondamentale nel fortificare il comportamento di sicurezza delle macchine virtuali.

Vantaggi

• Distribuire in modo sicuro le macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver.

• Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.

• Ottenere informazioni dettagliate e attendibilità dell'integrità dell'intera catena di avvio.

• Assicurarsi che i carichi di lavoro siano attendibili e verificabili.

Avvio protetto

L'avvio protetto è la prima linea di difesa in Avvio attendibile. Stabilisce una "radice di attendibilità" per le macchine virtuali assicurando che l'avvio sia consentito solo ai sistemi operativi e ai driver firmati. Ciò impedisce l'installazione di rootkit e bootkit basati su malware, che possono compromettere la sicurezza dell'intero sistema. Con l'avvio protetto abilitato, ogni aspetto del processo di avvio, dal caricatore di avvio ai driver kernel e kernel, deve essere firmato digitalmente da autori attendibili. In questo modo viene creato uno scudo affidabile da modifiche non autorizzate e si garantisce che la macchina virtuale venga avviata in uno stato sicuro e attendibile.

Virtual Trusted Platform Module (vTPM)

VTPM è una versione virtualizzata di un dispositivo TPM (Trusted Platform Module) 2.0 hardware. Funge da insieme di credenziali sicuro dedicato per l'archiviazione di chiavi, certificati e segreti. Ciò che distingue vTPM è la sua capacità di operare in un ambiente sicuro al di fuori della portata di qualsiasi macchina virtuale, rendendolo resistente alle manomissioni e altamente sicuro. Una delle funzioni chiave di vTPM è l'attestazione. Misura l'intera catena di avvio di una macchina virtuale, tra cui UEFI, sistema operativo, componenti di sistema e driver, per certificare che la macchina virtuale è stata avviata in modo sicuro. Questo meccanismo di attestazione è prezioso per verificare l'integrità delle macchine virtuali e garantire che non siano state compromesse.

Sicurezza basata su virtualizzazione (VBS)

La sicurezza basata su virtualizzazione (VBS) è il pezzo finale del puzzle Avvio attendibile. Sfrutta l'hypervisor per creare aree di memoria isolate e sicure all'interno della macchina virtuale. VbS usa la virtualizzazione per migliorare la sicurezza del sistema creando un sottosistema specializzato isolato, con restrizioni degli hypervisor. Fornisce protezione dall'accesso non autorizzato delle credenziali, impedisce l'esecuzione di malware nel sistema Windows e garantisce che solo il codice attendibile venga eseguito dal bootloader in poi.

Configurare Virtual Trusted Platform Module (vTPM) in Macchine virtuali con soluzione Azure VMware

Questa sezione illustra come abilitare il virtual Trusted Platform Module (vTPM) in una macchina virtuale VMware vSphere in esecuzione nella soluzione Azure VMware.

Un virtual Trusted Platform Module (vTPM) in VMware vSphere è una controparte virtuale di un chip TPM 2.0 fisico, che usa la crittografia della macchina virtuale. Fornisce le stesse funzionalità di un TPM fisico, ma opera all'interno delle macchine virtuali. Ogni macchina virtuale può avere una propria vTPM univoca e isolata, che consente di proteggere le informazioni riservate e mantenere l'integrità del sistema. Questa impostazione consente alle macchine virtuali di applicare funzionalità di sicurezza come la crittografia del disco BitLocker e autenticare i dispositivi hardware virtuali, creando un ambiente virtuale più sicuro.

Prerequisiti

Prima di configurare vTPM in una macchina virtuale in soluzione Azure VMware, verificare che siano soddisfatti i prerequisiti seguenti:

• La macchina virtuale deve usare il firmware EFI.
• La macchina virtuale deve avere una versione hardware 14 o successiva.
• Supporto del sistema operativo guest: Linux, Windows Server 2008 e versioni successive, Windows 7 e versioni successive.

Importante

I clienti non devono configurare un provider di chiavi per l'uso di vTPM con soluzione Azure VMware. soluzione Azure VMware già fornisce e gestisce i provider di chiavi per ogni ambiente.

Come configurare vTPM

Per configurare vTPM in una macchina virtuale in soluzione Azure VMware, seguire questa procedura:

1. Connettersi al server vCenter usando il client vSphere.

2. Nell'inventario fare clic con il pulsante destro del mouse sulla macchina virtuale da modificare e scegliere "Modifica impostazioni".

3. Nella finestra di dialogo Modifica impostazioni fare clic su "Aggiungi nuovo dispositivo" e scegliere "Trusted Platform Module".

4. Fare clic su "OK". La scheda Riepilogo macchina virtuale visualizza il modulo Virtual Trusted Platform nel riquadro Hardware della macchina virtuale.

Importante

In VMware vSphere 7, la clonazione di una macchina virtuale crea una replica esatta della macchina virtuale e del vTPM. VMware vSphere 8 introduce opzioni per copiare o sostituire il TPM, consentendo una migliore gestione dei diversi casi d'uso.

Scenari non supportati

La migrazione di macchine virtuali con vTPM potrebbe non essere supportata da alcuni strumenti. Controllare la documentazione dello strumento di migrazione. Se non è supportata, è possibile seguire la documentazione di VMware per disabilitare in modo sicuro vTPM e riabilitarla dopo la migrazione.

Ulteriori informazioni

Protezione delle Macchine virtuali con virtual Trusted Platform Module

Che cos'è un modulo virtual Trusted Platform

Domande e risposte su vSphere Virtual TPM (vTPM)