Dela via

Betrodd start för Azure VMware-lösning

  • Artikel

I den här artikeln får du lära dig mer om betrodd start och hur du konfigurerar VTPM (Virtual Trusted Platform Module) på virtuella datorer i Azure VMware Solution. Trusted Launch är en omfattande säkerhetslösning som omfattar tre viktiga komponenter: Säker start, virtuell betrodd plattformsmodul (vTPM) och virtualiseringsbaserad säkerhet (VBS). Var och en av dessa komponenter spelar en viktig roll för att stärka de virtuella datorernas säkerhetsstatus.

Diagram som visar de tre grundpelarna för betrodd start, säker start, modul för virtuell betrodd plattform och virtualiseringsbaserad säkerhet.

Förmåner

• Distribuera virtuella datorer på ett säkert sätt med verifierade startinläsare, operativsystemkärnor och drivrutiner.

• Skydda nycklar, certifikat och hemligheter på ett säkert sätt på de virtuella datorerna.

• Få insikter och förtroende för hela startkedjans integritet.

• Se till att arbetsbelastningar är betrodda och verifierbara.

Säker start

Säker start är den första försvarslinjen i Betrodd start. Den upprättar en "rot av förtroende" för virtuella datorer genom att se till att endast signerade operativsystem och drivrutiner tillåts starta. Detta förhindrar installation av malware-baserade rootkits och bootkits, vilket kan äventyra säkerheten för hela systemet. Med Säker start aktiverat måste alla aspekter av startprocessen, från startinläsaren till kernel- och kerneldrivrutinerna, signeras digitalt av betrodda utgivare. Detta skapar en robust sköld mot obehöriga ändringar och säkerställer att den virtuella datorn startar i ett säkert och betrott tillstånd.

Virtual Trusted Platform Module (vTPM)

vTPM är en virtualiserad version av en TPM 2.0-enhet (Trusted Platform Module) för maskinvara. Det fungerar som ett dedikerat säkert valv för lagring av nycklar, certifikat och hemligheter. Det som skiljer vTPM åt är dess förmåga att arbeta i en säker miljö utanför alla virtuella datorers räckvidd, vilket gör den manipuleringsbeständig och mycket säker. En av de viktigaste funktionerna i vTPM är attestering. Den mäter hela startkedjan för en virtuell dator, inklusive UEFI, operativsystem, systemkomponenter och drivrutiner, för att certifiera att den virtuella datorn startade på ett säkert sätt. Den här attesteringsmekanismen är ovärderlig för att verifiera integriteten för virtuella datorer och se till att de inte har komprometterats.

Virtualiseringsbaserad säkerhet (VBS)

Virtualiseringsbaserad säkerhet (VBS) är den sista pusselbiten i det betrodda startpusslet. Det utnyttjar hypervisor-programmet för att skapa isolerade, säkra minnesregioner i den virtuella datorn. VBS använder virtualisering för att förbättra systemsäkerheten genom att skapa ett isolerat, hypervisor-begränsat, specialiserat undersystem. Det ger skydd mot obehörig åtkomst till autentiseringsuppgifter, förhindrar att skadlig kod körs i Windows-systemet och ser till att endast betrodd kod körs från startladdaren och framåt.

Konfigurera virtual trusted platform module (vTPM) på virtuella datorer med Azure VMware Solution

Det här avsnittet visar hur du aktiverar den virtuella betrodda plattformsmodulen (vTPM) på en virtuell VMware vSphere-dator (VM) som körs i Azure VMware Solution.

En virtuell trusted platform-modul (vTPM) i VMware vSphere är en virtuell motsvarighet till ett fysiskt TPM 2.0-chip som använder VM-kryptering. Den har samma funktioner som en fysisk TPM men fungerar på virtuella datorer. Varje virtuell dator kan ha sin egen unika och isolerade vTPM, vilket hjälper till att skydda känslig information och upprätthålla systemets integritet. Med den här inställningen kan virtuella datorer tillämpa säkerhetsfunktioner som BitLocker-diskkryptering och autentisera virtuella maskinvaruenheter, vilket skapar en säkrare virtuell miljö.

Förutsättningar

Innan du konfigurerar vTPM på en virtuell dator i Azure VMware Solution kontrollerar du att följande krav uppfylls:

  • Den virtuella datorn måste använda EFI-inbyggd programvara.
  • Den virtuella datorn måste ha maskinvaruversion 14 eller senare.
  • Stöd för gästoperativsystem: Linux, Windows Server 2008 och senare, Windows 7 och senare.

Viktigt!

Kunder behöver inte konfigurera en nyckelprovider för att använda vTPM med Azure VMware Solution. Azure VMware Solution tillhandahåller och hanterar redan nyckelprovidrar för varje miljö.

Konfigurera vTPM

Följ dessa steg för att konfigurera vTPM på en virtuell dator i Azure VMware Solution:

  1. Anslut till vCenter Server med vSphere-klienten.

  2. Högerklicka på den virtuella dator som du vill ändra i inventeringen och välj "Redigera inställningar".

Diagram som visar hur du aktiverar vTPM på en virtuell dator i Azure VMware Solution.

  1. I dialogrutan Redigera inställningar klickar du på "Lägg till ny enhet" och väljer "Trusted Platform Module".

  2. Klicka på "OK". Fliken Sammanfattning av virtuell dator visar modulen Virtuell betrodd plattform i fönstret Vm-maskinvara.

Viktigt!

På VMware vSphere 7 skapar kloning av en virtuell dator en exakt replik av både den virtuella datorn och vTPM. VMware vSphere 8 introducerar alternativ för att antingen kopiera eller ersätta TPM, vilket möjliggör bättre hantering av olika användningsfall.

Scenarier som inte stöds

Migrering av virtuella datorer med vTPM kanske inte stöds av vissa verktyg. Kontrollera dokumentationen för migreringsverktyget. Om det inte stöds kan du följa VMware-dokumentationen för att på ett säkert sätt inaktivera vTPM och återaktivera det efter migreringen.

Mer information

Skydda virtuella datorer med modulen Virtuell betrodd plattform

Vad är en modul för virtuell betrodd plattform

vSphere Virtual TPM (vTPM) Frågor och svar