你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍受信任的启动以及如何在 Azure VMware Solution 中的 Virtual Machines 上配置虚拟受信任的平台模块 (vTPM)。 受信任启动是一个全面的安全解决方案,其中包含三个关键组件:安全启动、虚拟受信任的平台模块 (vTPM) 和基于虚拟化的安全性 (VBS)。 其中每个组件都在强化 VM 的安全态势方面发挥着重要作用。
优点
• 安全部署具有经过验证的启动加载程序、操作系统内核和驱动程序的 VM。
• 安全保护 VM 中的密钥、证书和机密。
• 深入了解整个启动链的完整性和可信度。
• 确保工作负载受信任且可验证。
安全启动
安全启动是受信任启动的第一道防线。 它通过确保只允许已签名的操作系统和驱动程序启动,为 VM 建立“信任根”。 安全启动可防止安装基于恶意软件的 rootkit 和 bootkit,这可能会损害整个系统的安全性。 启用安全启动后,请确保启动过程(从启动加载程序到内核驱动程序和内核驱动程序)的方方面面都由受信任的发布者进行数字签名。 数字签名可创建可靠的防护,防止未经授权的修改,并确保 VM 以安全且受信任的状态启动。
虚拟受信任的平台模块 (vTPM)
vTPM 是硬件受信任的平台模块 (TPM) 2.0 设备的虚拟化版本。 它充当存储密钥、证书和机密的专用安全保管库。 使 vTPM 出众的一点是它能够在任何 VM 都无法触及的安全环境中运行,具有抗篡改性且高度安全。 vTPM 的关键功能之一是证明。 它测量 VM 的整个启动链,包括统一可扩展固件接口(UEFI)、OS、系统组件和驱动程序,以验证 VM 是否安全启动。 证明机制对于验证 VM 的完整性并确保它们不会受到损害非常有用。
基于虚拟化的安全 (VBS)
基于虚拟化的安全性 (VBS) 是受信任启动机制的最后一部分。 它使用虚拟机监控程序在 VM 中创建隔离的安全内存区域。 VBS 使用虚拟化通过创建独立的虚拟机监控程序受限专用子系统来增强系统安全性。 它提供保护,防止未经授权的凭据访问,防止恶意软件在 Windows 系统上运行,并确保只有受信任的代码从启动加载程序开始运行。
使用 Azure VMware Solution 在 Virtual Machines上配置虚拟受信任的平台模块 (vTPM)
本部分演示如何在 Azure VMware Solution 中运行的 VMware vSphere 虚拟机(VM)中启用虚拟受信任的平台模块(vTPM)。
VMware vSphere 中的虚拟受信任的平台模块 (vTPM) 是物理 TPM 2.0 芯片的虚拟对应模块,其利用 VM 加密功能。 它提供与物理 TPM 相同的功能,但在 VM 中运行。 每个 VM 都可以有唯一且独立的 vTPM,这有助于保护敏感信息并保持系统完整性。 此设置使 VM 能够应用 BitLocker 磁盘加密等安全功能,并验证虚拟硬件设备,从而创建更安全的虚拟环境。
先决条件
在 Azure VMware Solution 中的 VM 上配置 vTPM 之前,请确保满足以下先决条件:
- 虚拟机必须使用 EFI 固件。
- 虚拟机的硬件版本必须是 14 或更高版本。
- 来宾 OS 支持:Linux、Windows Server 2008 及更高版本、Windows 7及更高版本。
重要
客户无需将密钥提供程序配置为将 vTPM 与Azure VMware Solution配合使用。 Azure VMware Solution已为每个环境提供和管理密钥提供程序。
如何配置 vTPM
若要在 Azure VMware Solution 中的 VM 上配置 vTPM,请执行以下步骤:
使用 vSphere 客户端连接到 vCenter Server。
在清单中,右键单击要修改的虚拟机,然后选择“编辑设置”。
在“编辑设置”对话框中,选择“ 添加新设备 ”,然后选择 “受信任的平台模块”。
选择“确定”。 “虚拟机摘要”选项卡的“VM 硬件”窗格中显示“虚拟受信任的平台模块”。
重要
在 VMware vSphere 7 上,克隆虚拟机时,系统会创建 VM 和 vTPM 的精确副本。 VMware vSphere 8 引入了复制或替换 TPM 的选项,以便更好地处理不同的用例。
不支持的方案
某些工具不支持使用 vTPM 迁移 VM。 请查看有关迁移工具的文档。 如果不支持,则可以遵循 VMware 文档安全地禁用 vTPM,并在迁移后重新启用它。