Vertrouwde start voor Azure VMware Solution

In dit artikel vindt u informatie over Trusted Launch en het configureren van Virtual Trusted Platform Module (vTPM) op virtuele machines in Azure VMware Solution. Trusted Launch is een uitgebreide beveiligingsoplossing die drie belangrijke onderdelen omvat: Secure Boot, Virtual Trusted Platform Module (vTPM) en Beveiliging op basis van virtualisatie (VBS). Elk van deze onderdelen speelt een belangrijke rol bij het versterken van het beveiligingspostuur van VM's.

Vergoedingen

• Implementeer virtuele machines met geverifieerde opstartlaadders, besturingssysteemkernels en stuurprogramma's.

• Beveilig sleutels, certificaten en geheimen veilig in de VM's.

• Krijg inzicht en vertrouwen in de integriteit van de gehele bootketen.

• Zorg ervoor dat workloads vertrouwd en verifieerbaar zijn.

Secure Boot

Beveiligd opstarten is de eerste verdedigingslinie in Trusted Launch. Er wordt een 'vertrouwenshoofdmap' voor VM's vastgesteld door ervoor te zorgen dat alleen ondertekende besturingssystemen en stuurprogramma's mogen worden opgestart. Dit voorkomt de installatie van op malware gebaseerde rootkits en bootkits, waardoor de beveiliging van het hele systeem kan worden aangetast. Als Beveiligd opstarten is ingeschakeld, moet elk aspect van het opstartproces, van het opstartlaadprogramma tot de kernel- en kernelstuurprogramma's, digitaal worden ondertekend door vertrouwde uitgevers. Hierdoor ontstaat een robuust schild tegen niet-geautoriseerde wijzigingen en zorgt u ervoor dat de VIRTUELE machine in een veilige en vertrouwde status wordt gestart.

Virtuele Trusted Platform Module (vTPM)

VTPM is een gevirtualiseerde versie van een TPM 2.0-apparaat (Trusted Platform Module). Het fungeert als een toegewezen beveiligde kluis voor het opslaan van sleutels, certificaten en geheimen. Wat vTPM uit elkaar zet, is de mogelijkheid om te werken in een beveiligde omgeving buiten het bereik van een virtuele machine, waardoor deze bestand is tegen manipulatie en zeer veilig. Een van de belangrijkste functies van vTPM is attestation. Het meet de volledige opstartketen van een virtuele machine, waaronder UEFI, besturingssysteem, systeemonderdelen en stuurprogramma's, om te certificeren dat de VIRTUELE machine veilig is opgestart. Dit attestation-mechanisme is waardevol voor het verifiëren van de integriteit van VM's en ervoor te zorgen dat ze niet zijn aangetast.

Beveiliging op basis van virtualisatie (VBS)

Beveiliging op basis van virtualisatie (VBS) is het laatste stukje van de trusted launch puzzel. De hypervisor maakt gebruik van de hypervisor om geïsoleerde, beveiligde geheugenregio's binnen de VIRTUELE machine te maken. VBS maakt gebruik van virtualisatie om de systeembeveiliging te verbeteren door een geïsoleerd, beperkt, gespecialiseerd subsysteem met hypervisor te maken. Het biedt bescherming tegen onbevoegde toegang tot referenties, voorkomt dat malware wordt uitgevoerd op het Windows-systeem en zorgt ervoor dat alleen vertrouwde code wordt uitgevoerd vanaf bootloader en hoger.

Virtual Trusted Platform Module (vTPM) configureren op virtuele machines met Azure VMware Solution

In deze sectie ziet u hoe u de virtuele Trusted Platform Module (vTPM) inschakelt in een virtuele VMware vSphere-machine (VM) die wordt uitgevoerd in de Azure VMware Solution.

Een virtuele Trusted Platform Module (vTPM) in VMware vSphere is een virtuele tegenhanger van een fysieke TPM 2.0-chip die gebruikmaakt van VM-versleuteling. Het biedt dezelfde functies als een fysieke TPM, maar werkt binnen VM's. Elke VIRTUELE machine kan een eigen unieke en geïsoleerde vTPM hebben, waarmee gevoelige informatie kan worden beveiligd en de systeemintegriteit behouden blijft. Met deze instelling kunnen VM's beveiligingsfuncties zoals BitLocker-schijfversleuteling toepassen en virtuele hardwareapparaten verifiëren, waardoor een veiligere virtuele omgeving wordt gemaakt.

Vereisten

Voordat u vTPM configureert op een VIRTUELE machine in Azure VMware Solution, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:

• De virtuele machine moet EFI-firmware gebruiken.
• De virtuele machine moet hardwareversie 14 of hoger hebben.
• Ondersteuning voor gastbesturingssystemen: Linux, Windows Server 2008 en hoger, Windows 7 en hoger.

Belangrijk

Klanten hoeven geen sleutelprovider te configureren voor het gebruik van vTPM met Azure VMware Solution. Azure VMware Solution biedt al belangrijke providers en beheert deze voor elke omgeving.

VTPM configureren

Voer de volgende stappen uit om vTPM te configureren op een VIRTUELE machine in Azure VMware Solution:

1. Maak verbinding met vCenter Server met behulp van de vSphere-client.

2. Klik in de inventaris met de rechtermuisknop op de virtuele machine die u wilt wijzigen en selecteer Instellingen bewerken.

3. Klik in het dialoogvenster Instellingen bewerken op Nieuw apparaat toevoegen en kies Trusted Platform Module.

4. Klik op OK. Op het tabblad Samenvatting van de virtuele machine wordt de module Virtual Trusted Platform weergegeven in het deelvenster VM-hardware.

Belangrijk

In VMware vSphere 7 maakt het klonen van een virtuele machine een exacte replica van zowel de virtuele machine als de vTPM. VMware vSphere 8 introduceert opties voor het kopiëren of vervangen van de TPM, zodat verschillende gebruiksvoorbeelden beter kunnen worden verwerkt.

Niet-ondersteunde scenario's

Migratie van VM's met vTPM wordt mogelijk niet ondersteund door sommige hulpprogramma's. Raadpleeg de documentatie van het hulpprogramma voor migratie. Als dit niet wordt ondersteund, kunt u de VMware-documentatie volgen om vTPM veilig uit te schakelen en deze na de migratie opnieuw in te schakelen.

Meer informatie

Virtuele machines beveiligen met virtual Trusted Platform Module

Wat is een module voor een virtueel vertrouwd platform?

Vragen en antwoorden over vSphere Virtual TPM (vTPM)