Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule dowiesz się więcej o zaufanym uruchomieniu i sposobie konfigurowania wirtualnego modułu zaufanej platformy (vTPM) na maszynach wirtualnych w rozwiązaniu Azure VMware Solution. Zaufane uruchamianie to kompleksowe rozwiązanie zabezpieczeń, które obejmuje trzy kluczowe składniki: bezpieczny rozruch, wirtualny moduł zaufanej platformy (vTPM) i zabezpieczenia oparte na wirtualizacji (VBS). Każdy z tych składników odgrywa istotną rolę w wzmacnianiu stanu zabezpieczeń maszyn wirtualnych.
Świadczenia
• Bezpieczne wdrażanie maszyn wirtualnych za pomocą zweryfikowanych programów rozruchowych, jąder systemu operacyjnego i sterowników.
• Bezpieczna ochrona kluczy, certyfikatów i wpisów tajnych na maszynach wirtualnych.
• Uzyskaj szczegółowe informacje i pewność integralności całego łańcucha rozruchu.
• Upewnij się, że obciążenia są zaufane i weryfikowalne.
Bezpieczny rozruch
Bezpieczny rozruch jest pierwszą linią obrony w zaufanym uruchomieniu. Ustanawia on "główny element zaufania" dla maszyn wirtualnych, zapewniając możliwość rozruchu tylko podpisanych systemów operacyjnych i sterowników. Zapobiega to instalacji rootkitów i bootkitów opartych na złośliwym oprogramowaniu, co może naruszyć bezpieczeństwo całego systemu. Po włączeniu Bezpiecznego rozruchu każdy aspekt procesu rozruchu, od programu rozruchowego do jądra i sterowników jądra, musi być podpisany cyfrowo przez zaufanych wydawców. Spowoduje to utworzenie niezawodnej osłony przed nieautoryzowanymi modyfikacjami i gwarantuje, że maszyna wirtualna zostanie uruchomiona w bezpiecznym i zaufanym stanie.
Wirtualny Zaufany Moduł Platformy (vTPM)
VTPM to zwirtualizowana wersja sprzętowego urządzenia TPM (Trusted Platform Module) 2.0. Służy jako dedykowany bezpieczny magazyn do przechowywania kluczy, certyfikatów i wpisów tajnych. To, co wyróżnia maszynę wirtualną vTPM, to możliwość działania w bezpiecznym środowisku poza zasięgiem dowolnej maszyny wirtualnej, dzięki czemu jest odporna na manipulacje i wysoce bezpieczna. Jedną z kluczowych funkcji vTPM jest zaświadczanie. Mierzy cały łańcuch rozruchowy maszyny wirtualnej, w tym UEFI, OS, składniki systemowe i sterowniki, aby bezpiecznie certyfikować, że maszyna wirtualna została uruchamiana bezpiecznie. Ten mechanizm zaświadczania jest nieoceniony do weryfikowania integralności maszyn wirtualnych i zapewnienia, że nie zostały naruszone.
Zabezpieczenia oparte na wirtualizacji
Zabezpieczenia oparte na wirtualizacji (VBS) to ostatni element układanki Trusted Launch. Wykorzystuje funkcję hypervisor do tworzenia izolowanych, bezpiecznych regionów pamięci na maszynie wirtualnej. VBS używa wirtualizacji, aby zwiększyć bezpieczeństwo systemu poprzez utworzenie izolowanego, specjalistycznego podsystemu ograniczanego przez hypervisor. Zapewnia ochronę przed nieautoryzowanym dostępem do danych uwierzytelniających, zapobiega uruchamianiu złośliwego oprogramowania w systemie Windows i zapewnia, że od momentu uruchomienia bootloadera działa jedynie zaufany kod.
Konfigurowanie wirtualnego modułu zaufanej platformy (vTPM) na maszynach wirtualnych przy użyciu rozwiązania Azure VMware Solution
W tej sekcji przedstawiono sposób włączania wirtualnego modułu Trusted Platform Module (vTPM) na maszynie wirtualnej VMware vSphere działającej w rozwiązaniu Azure VMware Solution.
Wirtualny moduł Trusted Platform Module (vTPM) w programie VMware vSphere jest wirtualnym odpowiednikiem fizycznego mikroukładu TPM 2.0 korzystającego z szyfrowania maszyn wirtualnych. Zapewnia ona te same funkcje co fizyczny moduł TPM, ale działa w ramach maszyn wirtualnych. Każda maszyna wirtualna może mieć własny unikatowy i odizolowany vTPM, który pomaga zabezpieczyć poufne informacje i zachować integralność systemu. To ustawienie umożliwia maszynom wirtualnym stosowanie funkcji zabezpieczeń, takich jak szyfrowanie dysków funkcją BitLocker i uwierzytelnianie urządzeń wirtualnych, tworzenie bezpieczniejszego środowiska wirtualnego.
Wymagania wstępne
Przed skonfigurowaniem vTPM na maszynie wirtualnej w usłudze Azure VMware Solution upewnij się, że zostały spełnione następujące wymagania wstępne:
- Maszyna wirtualna musi używać oprogramowania układowego EFI.
- Maszyna wirtualna musi mieć wersję sprzętową 14 lub nowszą.
- Obsługa systemu operacyjnego gościa: Linux, Windows Server 2008 i nowsze, Windows 7 i nowsze.
Ważne
Klienci nie muszą konfigurować dostawcy kluczy, aby korzystać z vTPM w usłudze Azure VMware Solution. Rozwiązanie Azure VMware Solution udostępnia już dostawców kluczy i zarządza nimi dla każdego środowiska.
Jak skonfigurować vTPM
Aby skonfigurować vTPM na maszynie wirtualnej w usłudze Azure VMware Solution, wykonaj następujące kroki:
Nawiąż połączenie z serwerem vCenter przy użyciu klienta vSphere.
W spisie kliknij prawym przyciskiem myszy maszynę wirtualną, którą chcesz zmodyfikować, i wybierz pozycję "Edytuj ustawienia".
W oknie dialogowym Edytowanie ustawień kliknij pozycję "Dodaj nowe urządzenie" i wybierz pozycję "Trusted Platform Module".
Kliknij przycisk OK. Na karcie Podsumowanie maszyny wirtualnej zostanie wyświetlony moduł Virtual Trusted Platform Module w okienku Sprzęt maszyny wirtualnej.
Ważne
W programie VMware vSphere 7 klonowanie maszyny wirtualnej powoduje utworzenie dokładnej repliki zarówno maszyny wirtualnej, jak i vTPM. Program VMware vSphere 8 wprowadza opcje kopiowania lub zastępowania modułu TPM, co umożliwia lepszą obsługę różnych przypadków użycia.
Nieobsługiwane scenariusze
Migracja maszyn wirtualnych z vTPM może nie być obsługiwana przez niektóre narzędzia. Zapoznaj się z dokumentacją narzędzia do migracji. Jeśli nie jest obsługiwana, możesz postępować zgodnie z dokumentacją programu VMware, aby bezpiecznie wyłączyć maszynę wirtualną vTPM i ponownie włączyć ją po migracji.
Więcej informacji
Zabezpieczanie maszyn wirtualnych za pomocą wirtualnego modułu zaufanej platformy
Co to jest wirtualny moduł zaufanej platformy
Pytania i odpowiedzi dotyczące wirtualnego modułu TPM (vTPM) vSphere