Поделиться через

Доверенный запуск для Решение Azure VMware

  • Статья

В этой статье вы узнаете о доверенном запуске и настройке модуля доверенной платформы (vTPM) на Виртуальные машины в Решение Azure VMware. Доверенный запуск — это комплексное решение для обеспечения безопасности, которое включает три основных компонента: безопасную загрузку, модуль виртуальной доверенной платформы (vTPM) и безопасность на основе виртуализации (VBS). Каждый из этих компонентов играет важную роль в укреплении состояния безопасности виртуальных машин.

Схема, показывающая три основных принципа доверенного запуска, безопасной загрузки, модуля виртуальной доверенной платформы и безопасности на основе виртуализации.

Льготы

• Безопасное развертывание виртуальных машин с проверенными загрузчиками, ядрами операционной системы и драйверами.

• Безопасно защитить ключи, сертификаты и секреты на виртуальных машинах.

• Получайте аналитические сведения и уверенность в целостности всей цепочки загрузки.

• Убедитесь, что рабочие нагрузки являются доверенными и проверяемыми.

Безопасная загрузка

Безопасная загрузка — это первая строка защиты в доверенном запуске. Он устанавливает "корень доверия" для виртуальных машин, гарантируя, что только подписанные операционные системы и драйверы разрешены для загрузки. Это предотвращает установку вредоносных программ rootkits и загрузочных наборов, что может скомпрометирует безопасность всей системы. При включенной безопасной загрузке каждый аспект процесса загрузки от загрузчика до драйверов ядра и ядра должен быть цифровой подписью доверенных издателей. Это создает надежный щит от несанкционированных изменений и гарантирует, что виртуальная машина запускается в безопасном и доверенном состоянии.

Виртуальный доверенный платформенный модуль (vTPM)

VTPM — это виртуализированная версия аппаратного доверенного платформенного модуля (TPM) 2.0. Он служит выделенным безопасным хранилищем для хранения ключей, сертификатов и секретов. Что задает vTPM отдельно, это его способность работать в защищенной среде за пределами любой виртуальной машины, что делает его защищенным и высокобезопасным. Одной из ключевых функций VTPM является аттестация. Он измеряет всю цепочку загрузки виртуальной машины, включая UEFI, ОС, системные компоненты и драйверы, чтобы сертифицировать безопасное загрузку виртуальной машины. Этот механизм аттестации является бесценным для проверки целостности виртуальных машин и обеспечения того, что они не были скомпрометированы.

Безопасность на основе виртуализации (VBS)

Безопасность на основе виртуализации (VBS) — это последний фрагмент головоломки доверенного запуска. Он использует гипервизор для создания изолированных и безопасных областей памяти в виртуальной машине. VBS использует виртуализацию для повышения безопасности системы путем создания изолированной, ограниченной гипервизором, специализированной подсистемой. Он обеспечивает защиту от несанкционированного доступа к учетным данным, предотвращает выполнение вредоносных программ в системе Windows и гарантирует, что только доверенный код выполняется из загрузчика.

Настройка модуля виртуальной доверенной платформы (vTPM) на Виртуальные машины с помощью Решение Azure VMware

В этом разделе показано, как включить виртуальный модуль доверенной платформы (vTPM) в виртуальной машине VMware vSphere, работающей в Решение Azure VMware.

Виртуальный доверенный модуль платформы (vTPM) в VMware vSphere является виртуальным аналогом физического микросхемы TPM 2.0, использующим шифрование виртуальных машин. Он предоставляет те же функции, что и физический TPM, но работает в виртуальных машинах. Каждая виртуальная машина может иметь собственный уникальный и изолированный VTPM, который помогает защитить конфиденциальную информацию и поддерживать целостность системы. Этот параметр позволяет виртуальным машинам применять такие функции безопасности, как шифрование дисков BitLocker и проверка подлинности виртуальных аппаратных устройств, создание более безопасной виртуальной среды.

Необходимые компоненты

Перед настройкой vTPM на виртуальной машине в Решение Azure VMware убедитесь, что выполнены следующие предварительные требования:

  • Виртуальная машина должна использовать встроенное ПО EFI.
  • Виртуальная машина должна быть в аппаратной версии 14 или более поздней.
  • Поддержка гостевой ОС: Linux, Windows Server 2008 и более поздних версий, Windows 7 и более поздних версий.

Внимание

Клиентам не нужно настраивать поставщик ключей для использования vTPM с Решение Azure VMware. Решение Azure VMware уже предоставляет поставщики ключей для каждой среды и управляет ими.

Настройка vTPM

Чтобы настроить vTPM на виртуальной машине в Решение Azure VMware, выполните следующие действия.

  1. Подключитесь к серверу vCenter Server с помощью клиента vSphere.

  2. В инвентаризации щелкните правой кнопкой мыши виртуальную машину, которую нужно изменить, и выберите "Изменить параметры".

Схема, показывающая, как включить vTPM на виртуальной машине в Решение Azure VMware.

  1. В диалоговом окне "Изменить параметры" нажмите кнопку "Добавить новое устройство" и выберите "Доверенный модуль платформы".

  2. Нажмите "ОК". На вкладке "Сводка по виртуальной машине" отображается модуль виртуальной доверенной платформы в области оборудования виртуальной машины.

Внимание

В VMware vSphere 7 клонирование виртуальной машины создает точную реплику виртуальной машины и vTPM. VMware vSphere 8 предоставляет параметры копирования или замены доверенного платформенного модуля, что позволяет лучше обрабатывать различные варианты использования.

Неподдерживаемые сценарии

Миграция виртуальных машин с vTPM может не поддерживаться некоторыми средствами. Ознакомьтесь с документацией по средству миграции. Если она не поддерживается, вы можете следовать документации VMware, чтобы безопасно отключить vTPM и повторно включить ее после миграции.

Дополнительные сведения

Защита Виртуальные машины с помощью модуля виртуальной доверенной платформы

Что такое модуль виртуальной доверенной платформы

Вопросы и ответы на виртуальные TPM vSphere