次の方法で共有

Azure VMware Solution のトラステッド起動

  • [アーティクル]

この記事では、トラステッド起動と、Azure VMware Solution を使って Virtual Machines で仮想トラステッド プラットフォーム モジュール (vTPM) を構成する方法について説明します。 トラステッド起動は、3 つの主要なコンポーネント (セキュア ブート、仮想トラステッド プラットフォーム モジュール (vTPM)、仮想化ベースのセキュリティ (VBS)) を含む包括的なセキュリティ ソリューションです。 これらのコンポーネントはそれぞれ、VM のセキュリティ態勢を強化する上で重要な役割を果たします。

トラステッド起動の 3 つの柱であるセキュア ブート、仮想トラステッド プラットフォーム モジュール、仮想化ベースのセキュリティを示す図。

メリット

• 検証済みのブート ローダー、オペレーティング システム カーネル、ドライバーを使って VM を安全にデプロイします。

• VM 内のキー、証明書、シークレットを安全に保護します。

• ブート チェーン全体の整合性に関する分析情報と信頼が得られます。

• ワークロードが信頼でき、検証可能であることが保証されます。

セキュア ブート

セキュア ブートは、トラステッド起動の最初の防御ラインです。 署名されたオペレーティング システムとドライバーのみの起動が許可されることを保証して、VM の "信頼のルート" を確立します。 これにより、システム全体のセキュリティを侵害する可能性のあるマルウェアベースのルートキットやブート キットがインストールされるのを防ぎます。 セキュア ブートを有効にすると、ブート ローダーからカーネルやカーネル ドライバーにいたるまでブート プロセスのあらゆる側面で、信頼できる発行元によるデジタル署名が必要になります。 これにより、承認されていない変更に対する堅牢なシールドが作成され、VM が安全で信頼できる状態で起動することが保証されます。

仮想トラステッド プラットフォーム モジュール (vTPM)

vTPM は、ハードウェアのトラステッド プラットフォーム モジュール (TPM) 2.0 デバイスの仮想化バージョンです。 これは、キー、証明書、シークレットを格納するための専用の安全なコンテナーとして機能します。 vTPM の特徴は、どの VM からも到達できない安全な環境で実行できることです。これにより、改ざんに対する耐性と高度なセキュリティが実現されます。 vTPM の主要な機能の 1 つは、構成証明です。 構成証明は、VM のブート チェーン全体 (UEFI、OS、システム コンポーネント、ドライバーなど) を測定して、VM が安全に起動したことを証明します。 この証明メカニズムは、VM の整合性を検証し、VM が侵害されていないことを確認するために非常に重要です。

仮想化ベースのセキュリティ (VBS)

仮想化ベースのセキュリティ (VBS) は、トラステッド起動パズルの最後のピースです。 ハイパーバイザーを使用して、分離され、セキュリティで保護されたメモリ領域が VM 内に作成されます。 VBS では仮想化を使用して、分離され、ハイパーバイザーによって制限される特殊なサブシステムを作成することで、システムのセキュリティを強化します。 資格情報への承認されていないアクセスに対する保護が提供され、Windows システム上でマルウェアが実行されるのを防ぎ、ブートローダー以降は信頼できるコードのみが実行されることが保証されます。

Azure VMware Solution を使用して Virtual Machines に仮想トラステッド プラットフォーム モジュール (vTPM) を構成する

このセクションでは、Azure VMware Solution で実行されている VMware vSphere 仮想マシン (VM) で仮想トラステッド プラットフォーム モジュール (vTPM) を有効にする方法を見ていきます。

VMware vSphere の仮想トラステッド プラットフォーム モジュール (vTPM) は、VM 暗号化を利用した、物理 TPM 2.0 チップに対応する仮想モジュールです。 これは物理 TPM と同じ機能を提供しますが、VM 内で動作します。 各 VM は、独自の分離された vTPM を持つことができます。これにより、機密情報をセキュリティで保護して、システムの整合性を維持できます。 この設定により、VM では BitLocker ディスク暗号化などのセキュリティ機能の適用や、仮想ハードウェア デバイスの認証が可能になり、より安全な仮想環境を作成できます。

前提条件

Azure VMware Solution で VM に vTPM を構成する前に、次の前提条件が満たされていることを確認してください。

  • 仮想マシンは EFI ファームウェアを使用する必要があります。
  • 仮想マシンは、ハードウェア バージョン 14 以降である必要があります。
  • ゲスト オペレーティング システムのサポート: Linux、Windows Server 2008 以降、Windows 7 以降。

重要

お客様は、Azure VMware Solution で vTPM を使用するためにキー プロバイダーを構成する必要はありません。 Azure VMware Solution では、各環境用のキー プロバイダーが既に提供され、管理されています。

vTPM の構成方法

Azure VMware Solution の VM で vTPM を構成するには、次の手順に従います。

  1. vSphere クライアントを使用して vCenter Server に接続します。

  2. インベントリで、変更する仮想マシンを右クリックし、[設定の編集] を選択します。

Azure VMware Solution の仮想マシンで vTPM を有効にする方法を示す図。

  1. [設定の編集] ダイアログ ボックスで、[新しいデバイスの追加] をクリックし、[トラステッド プラットフォーム モジュール] を選択します。

  2. [OK] をクリックします。 仮想マシンの [概要] タブの [VM Hardware] (VM ハードウェア) ウィンドウに、[Virtual Trusted Platform Module] (仮想トラステッド プラットフォーム モジュール) が表示されます。

重要

VMware vSphere 7 では、仮想マシンを複製すると、VM と vTPM の両方の正確なレプリカが作成されます。 VMware vSphere 8 には、TPM をコピーまたは置換するためのオプションが導入されているため、さまざまなユース ケースをより適切に処理できます。

サポートされていないシナリオ

vTPM を使用している VM の移行は、一部のツールではサポートされていません。 移行ツールのドキュメントを確認してください。 サポートされていない場合は、VMware のドキュメントに従って vTPM を安全に無効にし、移行後に再度有効にすることができます。

詳細

仮想トラステッド プラットフォーム モジュールを使用した仮想マシンのセキュリティ保護

仮想トラステッド プラットフォーム モジュールとは

vSphere の仮想 TPM (vTPM) に関する質問と回答