Zaufane uruchamianie dla rozwiązania Azure VMware

Artykuł
12/12/2024

W tym artykule dowiesz się więcej o zaufanym uruchomieniu i sposobie konfigurowania wirtualnego modułu zaufanej platformy (vTPM) na maszynach wirtualnych w rozwiązaniu Azure VMware Solution. Zaufane uruchamianie to kompleksowe rozwiązanie zabezpieczeń, które obejmuje trzy kluczowe składniki: bezpieczny rozruch, wirtualny moduł zaufanej platformy (vTPM) i zabezpieczenia oparte na wirtualizacji (VBS). Każdy z tych składników odgrywa istotną rolę w wzmacnianiu stanu zabezpieczeń maszyn wirtualnych.

Świadczenia

• Bezpieczne wdrażanie maszyn wirtualnych za pomocą zweryfikowanych modułów ładujących rozruchu, jąder systemu operacyjnego i sterowników.

• Bezpieczna ochrona kluczy, certyfikatów i wpisów tajnych na maszynach wirtualnych.

• Uzyskaj szczegółowe informacje i pewność integralności całego łańcucha rozruchu.

• Upewnij się, że obciążenia są zaufane i weryfikowalne.

Bezpieczny rozruch

Bezpieczny rozruch jest pierwszą linią obrony w zaufanym uruchomieniu. Ustanawia on "główny element zaufania" dla maszyn wirtualnych, zapewniając możliwość rozruchu tylko podpisanych systemów operacyjnych i sterowników. Zapobiega to instalacji bazowych i bootkitów opartych na złośliwym oprogramowaniu, co może naruszyć bezpieczeństwo całego systemu. Po włączeniu bezpiecznego rozruchu każdy aspekt procesu rozruchu, od modułu ładującego rozruchu do sterowników jądra i jądra, musi być podpisany cyfrowo przez zaufanych wydawców. Spowoduje to utworzenie niezawodnej osłony przed nieautoryzowanymi modyfikacjami i gwarantuje, że maszyna wirtualna zostanie uruchomiona w bezpiecznym i zaufanym stanie.

Wirtualne Trusted Platform Module (vTPM)

VTPM to zwirtualizowana wersja sprzętowego urządzenia TPM (Trusted Platform Module) 2.0. Służy jako dedykowany bezpieczny magazyn do przechowywania kluczy, certyfikatów i wpisów tajnych. To, co wyróżnia maszynę wirtualną vTPM, to możliwość działania w bezpiecznym środowisku poza zasięgiem dowolnej maszyny wirtualnej, dzięki czemu jest odporna na manipulacje i wysoce bezpieczna. Jedną z kluczowych funkcji vTPM jest zaświadczanie. Mierzy cały łańcuch rozruchowy maszyny wirtualnej, w tym UEFI, OS, składniki systemowe i sterowniki, aby bezpiecznie certyfikować, że maszyna wirtualna została uruchamiana bezpiecznie. Ten mechanizm zaświadczania jest nieoceniony do weryfikowania integralności maszyn wirtualnych i zapewnienia, że nie zostały naruszone.

Zabezpieczenia oparte na wirtualizacji

Zabezpieczenia oparte na wirtualizacji (VBS) to ostatni element układanki Trusted Launch. Wykorzystuje funkcję hypervisor do tworzenia izolowanych, bezpiecznych regionów pamięci na maszynie wirtualnej. Język VBS używa wirtualizacji w celu zwiększenia bezpieczeństwa systemu przez utworzenie izolowanego podsystemu z ograniczeniami funkcji hypervisor. Zapewnia ochronę przed nieautoryzowanym dostępem poświadczeń, zapobiega uruchamianiu złośliwego oprogramowania w systemie Windows i zapewnia uruchamianie tylko zaufanego kodu z modułu ładującego rozruchu.

Konfigurowanie wirtualnego modułu zaufanej platformy (vTPM) na maszynach wirtualnych przy użyciu rozwiązania Azure VMware Solution

W tej sekcji przedstawiono sposób włączania wirtualnego modułu Trusted Platform Module (vTPM) na maszynie wirtualnej VMware vSphere działającej w rozwiązaniu Azure VMware Solution.

Wirtualny moduł Trusted Platform Module (vTPM) w programie VMware vSphere jest wirtualnym odpowiednikiem fizycznego mikroukładu TPM 2.0 korzystającego z szyfrowania maszyn wirtualnych. Zapewnia ona te same funkcje co fizyczny moduł TPM, ale działa w ramach maszyn wirtualnych. Każda maszyna wirtualna może mieć własną unikatową i odizolowaną maszynę wirtualną vTPM, która pomaga zabezpieczyć poufne informacje i zachować integralność systemu. To ustawienie umożliwia maszynom wirtualnym stosowanie funkcji zabezpieczeń, takich jak szyfrowanie dysków funkcją BitLocker i uwierzytelnianie urządzeń wirtualnych, tworzenie bezpieczniejszego środowiska wirtualnego.

Wymagania wstępne

Przed skonfigurowaniem maszyny wirtualnej na maszynie wirtualnej w usłudze Azure VMware Solution upewnij się, że zostały spełnione następujące wymagania wstępne:

Maszyna wirtualna musi używać oprogramowania układowego EFI.
Maszyna wirtualna musi być w wersji 14 lub nowszej.
Obsługa systemu operacyjnego gościa: Linux, Windows Server 2008 i nowsze, Windows 7 i nowsze.

Ważne

Klienci nie muszą konfigurować dostawcy kluczy do używania maszyny wirtualnej vTPM z usługą Azure VMware Solution. Rozwiązanie Azure VMware Solution udostępnia już dostawców kluczy i zarządza nimi dla każdego środowiska.

Jak skonfigurować maszynę wirtualną vTPM

Aby skonfigurować maszynę wirtualną vTPM na maszynie wirtualnej w usłudze Azure VMware Solution, wykonaj następujące kroki:

Nawiąż połączenie z serwerem vCenter przy użyciu klienta vSphere.
W spisie kliknij prawym przyciskiem myszy maszynę wirtualną, którą chcesz zmodyfikować, i wybierz pozycję "Edytuj ustawienia".

W oknie dialogowym Edytowanie ustawień kliknij pozycję "Dodaj nowe urządzenie" i wybierz pozycję "Trusted Platform Module".
Kliknij przycisk OK. Na karcie Podsumowanie maszyny wirtualnej zostanie wyświetlony moduł Virtual Trusted Platform Module w okienku Sprzęt maszyny wirtualnej.

Ważne

W programie VMware vSphere 7 klonowanie maszyny wirtualnej powoduje utworzenie dokładnej repliki maszyny wirtualnej i maszyny wirtualnej i maszyny wirtualnej vTPM. Program VMware vSphere 8 wprowadza opcje kopiowania lub zastępowania modułu TPM, co umożliwia lepszą obsługę różnych przypadków użycia.

Nieobsługiwane scenariusze

Migracja maszyn wirtualnych z maszynami wirtualnymi z maszyną wirtualną vTPM może nie być obsługiwana przez niektóre narzędzia. Zapoznaj się z dokumentacją narzędzia do migracji. Jeśli nie jest obsługiwana, możesz postępować zgodnie z dokumentacją programu VMware, aby bezpiecznie wyłączyć maszynę wirtualną vTPM i ponownie włączyć ją po migracji.