Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo articolo vengono fornite informazioni sull'avvio attendibile e su come configurare il modulo di piattaforma fidata virtuale (vTPM) nelle macchine virtuali nella soluzione Azure VMware. Avvio attendibile è una soluzione di sicurezza completa che include tre componenti chiave: Avvio protetto, Virtual Trusted Platform Module (vTPM) e Sicurezza basata su virtualizzazione (VBS). Ognuno di questi componenti svolge un ruolo fondamentale nel fortificare il comportamento di sicurezza delle macchine virtuali.
Vantaggi
• Distribuire in modo sicuro le macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver.
• Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
• Ottenere informazioni dettagliate e sicurezza in termini di integrità dell'intera catena di avvio.
• Assicurarsi che i carichi di lavoro siano attendibili e verificabili.
Avvio protetto
Secure Boot è la prima linea di difesa in Trusted Launch. Stabilisce una "radice di attendibilità" per le macchine virtuali assicurando che l'avvio sia consentito solo ai sistemi operativi e ai driver firmati. L'avvio protetto impedisce l'installazione di rootkit e bootkit basati su malware, che possono compromettere la sicurezza dell'intero sistema. Con l'avvio protetto abilitato, assicurarsi che ogni aspetto del processo di avvio (dal caricatore di avvio al kernel e ai driver del kernel) venga firmato digitalmente da autori attendibili. Le firme digitali creano uno scudo affidabile da modifiche non autorizzate e assicurano che le macchine virtuali inizino in uno stato sicuro e attendibile.
Virtual Trusted Platform Module (vTPM)
VTPM è una versione virtualizzata di un dispositivo TPM (Trusted Platform Module) 2.0 hardware. Funziona come una cassaforte sicura dedicata all'archiviazione di chiavi, certificati e segreti. Ciò che distingue vTPM è la sua capacità di operare in un ambiente sicuro al di fuori della portata di qualsiasi macchina virtuale, rendendolo resistente alle manomissioni e altamente sicuro. Una delle funzioni chiave di vTPM è l'attestazione. Misura l'intera catena di avvio di una macchina virtuale, tra cui UEFI (Unified Extensible Firmware Interface), sistema operativo, componenti di sistema e driver per certificare che la macchina virtuale è stata avviata in modo sicuro. Il meccanismo di attestazione è prezioso per verificare l'integrità delle macchine virtuali e assicurarsi che non vengano compromesse.
Sicurezza basata su virtualizzazione (VBS)
La Sicurezza Basata sulla Virtualizzazione (VBS) è il pezzo finale del puzzle dell'Avvio attendibile. Usa l'hypervisor per creare aree di memoria isolate e sicure all'interno della macchina virtuale. VbS usa la virtualizzazione per migliorare la sicurezza del sistema creando un sottosistema specializzato isolato, con restrizioni degli hypervisor. Fornisce protezione contro l'accesso non autorizzato delle credenziali, impedisce l'esecuzione di malware nel sistema Windows e garantisce che solo il codice attendibile venga eseguito dal bootloader in poi.
Configurare Virtual Trusted Platform Module (vTPM) nelle macchine virtuali con la soluzione Azure VMware
Questa sezione illustra come abilitare il virtual Trusted Platform Module (vTPM) in una macchina virtuale VMware vSphere in esecuzione in Azure VMware Solution.
Un virtual Trusted Platform Module (vTPM) in VMware vSphere è una controparte virtuale di un chip TPM 2.0 fisico, che usa la crittografia della macchina virtuale. Fornisce le stesse funzionalità di un TPM fisico, ma opera all'interno delle macchine virtuali. Ogni macchina virtuale può avere una propria vTPM univoca e isolata, che consente di proteggere le informazioni riservate e mantenere l'integrità del sistema. Questa impostazione consente alle macchine virtuali di applicare funzionalità di sicurezza come la crittografia del disco BitLocker e autenticare i dispositivi hardware virtuali, per creare un ambiente virtuale più sicuro.
Prerequisiti
Prima di configurare vTPM in una macchina virtuale in Azure VMware Solution, verificare che siano soddisfatti i prerequisiti seguenti:
- La macchina virtuale deve usare il firmware EFI.
- La macchina virtuale deve avere una versione hardware 14 o successiva.
- Supporto del sistema operativo guest: Linux, Windows Server 2008 e versioni successive, Windows 7 e versioni successive.
Importante
I clienti non devono configurare un provider di chiavi per l'uso di vTPM con Azure VMware Solution. Azure VMware Solution già fornisce e gestisce i provider di chiavi per ogni ambiente.
Come configurare vTPM
Per configurare vTPM in una macchina virtuale in Azure VMware Solution, seguire questa procedura:
Connettersi al server vCenter usando il client vSphere.
Nell'inventario fare clic con il pulsante destro del mouse sulla macchina virtuale da modificare e selezionare Modifica impostazioni.
Nella finestra di dialogo Modifica impostazioni selezionare Aggiungi nuovo dispositivo e scegliere Trusted Platform Module .In the Edit Settings dialog box, select Add New Device and choose Trusted Platform Module.
Seleziona OK. La scheda Riepilogo macchina virtuale visualizza il modulo Virtual Trusted Platform nel riquadro Hardware della macchina virtuale.
Importante
In VMware vSphere 7, la clonazione di una macchina virtuale crea una replica esatta della macchina virtuale e del vTPM. VMware vSphere 8 introduce opzioni per copiare o sostituire il TPM, che consente una migliore gestione di casi d'uso diversi.
Scenari non supportati
Alcuni strumenti non supportano le migrazioni di macchine virtuali con vTPM. Controllare la documentazione dello strumento di migrazione. Se non è supportata, è possibile seguire la documentazione di VMware per disabilitare in modo sicuro vTPM e riabilitarla dopo la migrazione.
Ulteriori informazioni
Proteggere le macchine virtuali con il Modulo Piattaforma Fidata Virtuale