Compartilhar via

Início confiável para Solução VMware no Azure

  • Artigo

Neste artigo, você aprenderá sobre o Início Confiável e como configurar o vTPM (Virtual Trusted Platform Module) em Máquinas Virtuais na Solução VMware no Azure. O Início confiável é uma solução de segurança abrangente que abrange três componentes principais: inicialização segura, Virtual Trusted Platform Module (vTPM) e segurança baseada em virtualização (VBS). Cada um desses componentes desempenha um papel vital no fortalecimento da postura de segurança das VMs.

Diagrama mostrando os três pilares de início confiável, Inicialização Segura, Trusted Platform Module e Segurança Baseada em Virtualização.

Benefícios

• Implante VMs com segurança com carregadores de inicialização verificados, kernels de sistema operacional e drivers.

• Proteja com segurança chaves, certificados e segredos nas VMs.

• Obtenha insights e confiança sobre a integridade de toda a cadeia de botas.

• Garanta que as cargas de trabalho sejam confiáveis ​​e verificáveis.

Inicialização Segura

O Secure Boot é a primeira linha de defesa no Início confiável. Ele estabelece uma "raiz de confiança" para VMs, garantindo que somente sistemas operacionais e drivers assinados tenham permissão para inicializar. Isso evita a instalação de rootkits e bootkits baseados em malware, que podem comprometer a segurança de todo o sistema. Com o Secure Boot habilitado, todos os aspectos do processo de inicialização, do carregador de inicialização ao kernel e aos drivers do kernel, devem ser assinados digitalmente por editores confiáveis. Isso cria um escudo robusto contra modificações não autorizadas e garante que a VM inicie em um estado seguro e confiável.

vTPM (Virtual Trusted Platform Module)

O vTPM é uma versão virtualizada de um dispositivo de hardware Trusted Platform Module (TPM) 2.0. Ele serve como um cofre seguro dedicado para armazenar chaves, certificados e segredos. O que diferencia o vTPM é sua capacidade de operar em um ambiente seguro, fora do alcance de qualquer VM, o que o torna resistente a violações e altamente seguro. Uma das principais funções do vTPM é a atestação. Ele mede toda a cadeia de inicialização de uma VM, incluindo UEFI, sistema operacional, componentes do sistema e drivers, para certificar que a VM inicializou com segurança. Esse mecanismo de atestado é inestimável para verificar a integridade das VMs e garantir que elas não foram comprometidas.

VBS (Segurança Baseada em Virtualização)

A VBS (segurança baseada em virtualização) é a parte final do quebra-cabeça de Início Confiável. Ele aproveita o hipervisor para criar regiões de memória isoladas e seguras dentro da VM. O VBS usa a virtualização para aumentar a segurança do sistema criando um subsistema especializado, isolado e restrito ao hipervisor. Ele fornece proteção contra acesso não autorizado de credenciais, impede que malware seja executado no sistema Windows e garante que somente código confiável seja executado a partir do bootloader.

Configurar o vTPM (Virtual Trusted Platform Module) em máquinas virtuais com a Solução VMware no Azure

Esta seção demonstra como habilitar o vTPM (Trusted Platform Module) virtual em uma VM (máquina virtual) VMware vSphere em execução na Solução VMware no Azure.

Um vTPM (Virtual Trusted Platform Module) no VMware vSphere é um equivalente virtual de um chip TPM 2.0 físico, utilizando a Criptografia de VM. Ele fornece as mesmas funcionalidades de um TPM físico, mas opera dentro de VMs. Cada VM pode ter seu próprio vTPM exclusivo e isolado, o que ajuda a proteger informações confidenciais e manter a integridade do sistema. Essa configuração permite que as VMs apliquem recursos de segurança, como criptografia de disco do BitLocker e autentiquem dispositivos de hardware virtual, criando um ambiente virtual mais seguro.

Pré-requisitos

Antes de configurar o vTPM em uma VM no Solução VMware no Azure, certifique-se de que os seguintes pré-requisitos sejam atendidos:

  • A máquina virtual deve usar firmware EFI.
  • A máquina virtual deve estar no hardware versão 14 ou posterior.
  • Suporte ao sistema operacional convidado: Linux, Windows Server 2008 e posterior, Windows 7 e posterior.

Importante

Os clientes não precisam configurar um provedor de chaves para usar o vTPM com a Solução VMware no Azure. A Solução VMware no Azure já fornece e gerencia os principais provedores para cada ambiente.

Como configurar o vTPM

Para configurar o vTPM em uma VM na Solução VMware no Azure, siga estas etapas:

  1. Conecte-se ao vCenter Server usando o cliente vSphere.

  2. No inventário, clique com o botão direito do mouse na máquina virtual que você deseja modificar e selecione "Editar Configurações".

Diagrama mostrando como habilitar o vTPM em uma máquina virtual na Solução VMware no Azure.

  1. Na caixa de diálogo Editar Configurações, clique em "Adicionar Novo Dispositivo" e escolha "Módulo de Plataforma Confiável".

  2. Clique em "OK". A guia Resumo da máquina virtual exibe o Módulo de Plataforma Confiável Virtual no painel Hardware da VM.

Importante

No VMware vSphere 7, a clonagem de uma máquina virtual cria uma réplica exata da VM e do vTPM. O VMware vSphere 8 apresenta opções para copiar ou substituir o TPM, permitindo uma melhor manipulação de diferentes casos de uso.

Cenários sem suporte

A migração de VMs com vTPM pode não ser suportada por algumas ferramentas. Verifique a documentação da ferramenta de migração. Se não for compatível, você pode seguir a documentação da VMware para desabilitar o vTPM com segurança e reabilitá-lo após a migração.

Mais informações

Proteção de Máquinas Virtuais com Virtual Trusted Platform Module

O que é um Virtual Trusted Platform Module

Perguntas e respostas do vTPM (vSphere Virtual TPM)