Início confiável para Solução VMware no Azure
Neste artigo, você aprenderá sobre o Início Confiável e como configurar o vTPM (Virtual Trusted Platform Module) em Máquinas Virtuais na Solução VMware no Azure. O Início confiável é uma solução de segurança abrangente que abrange três componentes principais: inicialização segura, Virtual Trusted Platform Module (vTPM) e segurança baseada em virtualização (VBS). Cada um desses componentes desempenha um papel vital no fortalecimento da postura de segurança das VMs.
Benefícios
• Implante VMs com segurança com carregadores de inicialização verificados, kernels de sistema operacional e drivers.
• Proteja com segurança chaves, certificados e segredos nas VMs.
• Obtenha insights e confiança sobre a integridade de toda a cadeia de botas.
• Garanta que as cargas de trabalho sejam confiáveis e verificáveis.
Inicialização Segura
O Secure Boot é a primeira linha de defesa no Início confiável. Ele estabelece uma "raiz de confiança" para VMs, garantindo que somente sistemas operacionais e drivers assinados tenham permissão para inicializar. Isso evita a instalação de rootkits e bootkits baseados em malware, que podem comprometer a segurança de todo o sistema. Com o Secure Boot habilitado, todos os aspectos do processo de inicialização, do carregador de inicialização ao kernel e aos drivers do kernel, devem ser assinados digitalmente por editores confiáveis. Isso cria um escudo robusto contra modificações não autorizadas e garante que a VM inicie em um estado seguro e confiável.
vTPM (Virtual Trusted Platform Module)
O vTPM é uma versão virtualizada de um dispositivo de hardware Trusted Platform Module (TPM) 2.0. Ele serve como um cofre seguro dedicado para armazenar chaves, certificados e segredos. O que diferencia o vTPM é sua capacidade de operar em um ambiente seguro, fora do alcance de qualquer VM, o que o torna resistente a violações e altamente seguro. Uma das principais funções do vTPM é a atestação. Ele mede toda a cadeia de inicialização de uma VM, incluindo UEFI, sistema operacional, componentes do sistema e drivers, para certificar que a VM inicializou com segurança. Esse mecanismo de atestado é inestimável para verificar a integridade das VMs e garantir que elas não foram comprometidas.
VBS (Segurança Baseada em Virtualização)
A VBS (segurança baseada em virtualização) é a parte final do quebra-cabeça de Início Confiável. Ele aproveita o hipervisor para criar regiões de memória isoladas e seguras dentro da VM. O VBS usa a virtualização para aumentar a segurança do sistema criando um subsistema especializado, isolado e restrito ao hipervisor. Ele fornece proteção contra acesso não autorizado de credenciais, impede que malware seja executado no sistema Windows e garante que somente código confiável seja executado a partir do bootloader.
Configurar o vTPM (Virtual Trusted Platform Module) em máquinas virtuais com a Solução VMware no Azure
Esta seção demonstra como habilitar o vTPM (Trusted Platform Module) virtual em uma VM (máquina virtual) VMware vSphere em execução na Solução VMware no Azure.
Um vTPM (Virtual Trusted Platform Module) no VMware vSphere é um equivalente virtual de um chip TPM 2.0 físico, utilizando a Criptografia de VM. Ele fornece as mesmas funcionalidades de um TPM físico, mas opera dentro de VMs. Cada VM pode ter seu próprio vTPM exclusivo e isolado, o que ajuda a proteger informações confidenciais e manter a integridade do sistema. Essa configuração permite que as VMs apliquem recursos de segurança, como criptografia de disco do BitLocker e autentiquem dispositivos de hardware virtual, criando um ambiente virtual mais seguro.
Pré-requisitos
Antes de configurar o vTPM em uma VM no Solução VMware no Azure, certifique-se de que os seguintes pré-requisitos sejam atendidos:
- A máquina virtual deve usar firmware EFI.
- A máquina virtual deve estar no hardware versão 14 ou posterior.
- Suporte ao sistema operacional convidado: Linux, Windows Server 2008 e posterior, Windows 7 e posterior.
Importante
Os clientes não precisam configurar um provedor de chaves para usar o vTPM com a Solução VMware no Azure. A Solução VMware no Azure já fornece e gerencia os principais provedores para cada ambiente.
Como configurar o vTPM
Para configurar o vTPM em uma VM na Solução VMware no Azure, siga estas etapas:
Conecte-se ao vCenter Server usando o cliente vSphere.
No inventário, clique com o botão direito do mouse na máquina virtual que você deseja modificar e selecione "Editar Configurações".
Na caixa de diálogo Editar Configurações, clique em "Adicionar Novo Dispositivo" e escolha "Módulo de Plataforma Confiável".
Clique em "OK". A guia Resumo da máquina virtual exibe o Módulo de Plataforma Confiável Virtual no painel Hardware da VM.
Importante
No VMware vSphere 7, a clonagem de uma máquina virtual cria uma réplica exata da VM e do vTPM. O VMware vSphere 8 apresenta opções para copiar ou substituir o TPM, permitindo uma melhor manipulação de diferentes casos de uso.
Cenários sem suporte
A migração de VMs com vTPM pode não ser suportada por algumas ferramentas. Verifique a documentação da ferramenta de migração. Se não for compatível, você pode seguir a documentação da VMware para desabilitar o vTPM com segurança e reabilitá-lo após a migração.
Mais informações
Proteção de Máquinas Virtuais com Virtual Trusted Platform Module