Partilhar via

Inicialização confiável para a solução VMware do Azure

  • Artigo

Neste artigo, você aprenderá sobre o Trusted Launch e como configurar o Virtual Trusted Platform Module (vTPM) em máquinas virtuais na solução VMware do Azure. O Trusted Launch é uma solução de segurança abrangente que engloba três componentes principais: Inicialização Segura, Virtual Trusted Platform Module (vTPM) e segurança baseada em virtualização (VBS). Cada um desses componentes desempenha um papel vital no fortalecimento da postura de segurança das VMs.

Diagrama mostrando os três pilares do lançamento confiável, Inicialização Segura, Virtual Trusted Platform Module e Segurança baseada em virtualização.

Benefícios

• Implante VMs com segurança com carregadores de inicialização verificados, kernels do sistema operacional e drivers.

• Proteja com segurança chaves, certificados e segredos nas VMs.

• Obter insights e confiança da integridade de toda a cadeia de inicialização.

• Garantir que as cargas de trabalho sejam confiáveis e verificáveis.

Arranque Seguro

A Inicialização Segura é a primeira linha de defesa no Trusted Launch. Ele estabelece uma "raiz de confiança" para VMs, garantindo que apenas sistemas operacionais e drivers assinados tenham permissão para inicializar. Isso impede a instalação de rootkits e bootkits baseados em malware, o que pode comprometer a segurança de todo o sistema. Com a Inicialização Segura habilitada, todos os aspetos do processo de inicialização, desde o carregador de inicialização até o kernel e os drivers do kernel, devem ser assinados digitalmente por editores confiáveis. Isso cria uma proteção robusta contra modificações não autorizadas e garante que a VM seja iniciada em um estado seguro e confiável.

Módulo de plataforma confiável virtual (vTPM)

O vTPM é uma versão virtualizada de um dispositivo de hardware Trusted Platform Module (TPM) 2.0. Ele serve como um cofre seguro dedicado para armazenar chaves, certificados e segredos. O que diferencia o vTPM é sua capacidade de operar em um ambiente seguro fora do alcance de qualquer VM, tornando-o inviolável e altamente seguro. Uma das principais funções do vTPM é o atestado. Ele mede toda a cadeia de inicialização de uma VM, incluindo UEFI, SO, componentes do sistema e drivers, para certificar que a VM inicializou com segurança. Esse mecanismo de atestado é inestimável para verificar a integridade das VMs e garantir que elas não tenham sido comprometidas.

Segurança baseada em Virtualização (VBS)

A Segurança Baseada em Virtualização (VBS) é a peça final do quebra-cabeça do Lançamento Confiável. Ele aproveita o hipervisor para criar regiões de memória isoladas e seguras dentro da VM. O VBS usa a virtualização para melhorar a segurança do sistema criando um subsistema especializado, restrito ao hipervisor. Ele fornece proteção contra acesso não autorizado de credenciais, impede que malware seja executado no sistema Windows e garante que apenas código confiável seja executado a partir do bootloader.

Configurar o Virtual Trusted Platform Module (vTPM) em máquinas virtuais com a solução VMware do Azure

Esta seção demonstra como habilitar o virtual Trusted Platform Module (vTPM) em uma máquina virtual (VM) VMware vSphere em execução na Solução VMware do Azure.

Um virtual Trusted Platform Module (vTPM) no VMware vSphere é uma contrapartida virtual de um chip TPM 2.0 físico, utilizando criptografia VM. Ele fornece as mesmas funcionalidades que um TPM físico, mas opera dentro de VMs. Cada VM pode ter seu próprio vTPM exclusivo e isolado, que ajuda a proteger informações confidenciais e manter a integridade do sistema. Essa configuração permite que as VMs apliquem recursos de segurança, como a criptografia de disco BitLocker, e autentiquem dispositivos de hardware virtual, criando um ambiente virtual mais seguro.

Pré-requisitos

Antes de configurar o vTPM em uma VM na Solução VMware do Azure, verifique se os seguintes pré-requisitos são atendidos:

  • A máquina virtual deve usar firmware EFI.
  • A máquina virtual deve estar na versão de hardware 14 ou posterior.
  • Suporte a SO convidado: Linux, Windows Server 2008 e posterior, Windows 7 e posterior.

Importante

Os clientes não precisam configurar um provedor de chaves para usar o vTPM com a Solução VMware do Azure. A Solução VMware do Azure já fornece e gerencia os principais provedores para cada ambiente.

Como configurar o vTPM

Para configurar o vTPM em uma VM no Azure VMware Solution, siga estas etapas:

  1. Conecte-se ao vCenter Server usando o vSphere Client.

  2. No inventário, clique com o botão direito do mouse na máquina virtual que deseja modificar e selecione "Editar configurações".

Diagrama mostrando como habilitar o vTPM em uma máquina virtual na Solução VMware do Azure.

  1. Na caixa de diálogo Editar configurações, clique em "Adicionar novo dispositivo" e escolha "Módulo de plataforma confiável".

  2. Clique em "OK". A guia Resumo da máquina virtual exibe o Módulo de Plataforma Virtual Confiável no painel Hardware da VM.

Importante

No VMware vSphere 7, a clonagem de uma máquina virtual cria uma réplica exata da VM e do vTPM. O VMware vSphere 8 apresenta opções para copiar ou substituir o TPM, permitindo um melhor tratamento de diferentes casos de uso.

Cenários não suportados

A migração de VMs com vTPM pode não ser suportada por algumas ferramentas. Verifique a documentação da ferramenta de migração. Se não for suportado, você pode seguir a documentação do VMware para desativar com segurança o vTPM e reativá-lo após a migração.

Mais informações

Protegendo máquinas virtuais com o Virtual Trusted Platform Module

O que é um Virtual Trusted Platform Module

vSphere Virtual TPM (vTPM) Perguntas & Respostas