この記事では、信頼された起動と、Azure VMware SolutionのVirtual Machinesで仮想信頼されたプラットフォーム モジュール (vTPM) を構成する方法について説明します。 トラステッド起動は、3 つの主要なコンポーネント (セキュア ブート、仮想トラステッド プラットフォーム モジュール (vTPM)、仮想化ベースのセキュリティ (VBS)) を含む包括的なセキュリティ ソリューションです。 これらのコンポーネントはそれぞれ、VM のセキュリティ態勢を強化する上で重要な役割を果たします。
メリット
• 検証済みのブート ローダー、オペレーティング システム カーネル、ドライバーを使って VM を安全にデプロイします。
• VM 内のキー、証明書、シークレットを安全に保護します。
• ブート チェーン全体の整合性に関する分析情報と信頼が得られます。
• ワークロードが信頼でき、検証可能であることが保証されます。
セキュア ブート
セキュア ブートは、信頼された起動における防御の最前線です。 署名されたオペレーティング システムとドライバーのみの起動が許可されることを保証して、VM の "信頼のルート" を確立します。 セキュア ブートを使用すると、マルウェアベースのルートキットとブートキットがインストールされなくなり、システム全体のセキュリティが損なわれる可能性があります。 セキュア ブートが有効になっている場合は、ブート プロセスのすべての側面 (ブート ローダーからカーネルおよびカーネル ドライバーまで) が、信頼された発行元によってデジタル署名されていることを確認します。 デジタル署名は、承認されていない変更に対する堅牢なシールドを作成し、VM が安全で信頼された状態で起動することを確認します。
仮想トラステッド プラットフォーム モジュール (vTPM)
vTPM は、ハードウェアのトラステッド プラットフォーム モジュール (TPM) 2.0 デバイスの仮想化バージョンです。 これは、キー、証明書、シークレットを格納するための専用の安全なコンテナーとして機能します。 vTPM の特徴は、どの VM からも到達できない安全な環境で実行できることです。これにより、改ざんに対する耐性と高度なセキュリティが実現されます。 vTPM の主要な機能の 1 つは、証明です。 統合拡張ファームウェア インターフェイス (UEFI)、OS、システム コンポーネント、ドライバーなど、VM のブート チェーン全体を測定して、VM が安全に起動したことを認定します。 構成証明メカニズムは、VM の整合性を検証し、侵害されていないことを確認するために非常に重要です。
仮想化ベースのセキュリティ (VBS)
仮想化ベースのセキュリティ (VBS) は、トラステッド起動パズルの最後のピースです。 ハイパーバイザーを使用して、VM 内に分離されたセキュリティで保護されたメモリ領域を作成します。 VBS では仮想化を使用して、分離され、ハイパーバイザーによって制限される特殊なサブシステムを作成することで、システムのセキュリティを強化します。 これにより、資格情報の不正アクセスに対する保護が提供され、マルウェアが Windows システム上で実行されるのを防ぎ、ブートローダーから信頼できるコードのみが実行されるようになります。
Azure VMware Solutionを使用してVirtual Machinesに仮想信頼プラットフォーム モジュール (vTPM) を構成する
このセクションでは、Azure VMware Solutionで実行されている VMware vSphere 仮想マシン (VM) で仮想トラステッド プラットフォーム モジュール (vTPM) を有効にする方法について説明します。
VMware vSphere の仮想トラステッド プラットフォーム モジュール (vTPM) は、VM 暗号化を利用した、物理 TPM 2.0 チップに対応する仮想モジュールです。 これは物理 TPM と同じ機能を提供しますが、VM 内で動作します。 各 VM は、独自の分離された vTPM を持つことができます。これにより、機密情報をセキュリティで保護して、システムの整合性を維持できます。 この設定により、VM は BitLocker ディスク暗号化などのセキュリティ機能を適用し、仮想ハードウェア デバイスを認証して、より安全な仮想環境を作成できます。
前提条件
Azure VMware Solutionの VM で vTPM を構成する前に、次の前提条件が満たされていることを確認します。
- 仮想マシンは EFI ファームウェアを使用する必要があります。
- 仮想マシンは、ハードウェア バージョン 14 以降である必要があります。
- ゲスト OS のサポート: Linux、Windows Server 2008 以降、Windows 7以降。
重要
Azure VMware Solutionで vTPM を使用するようにキー プロバイダーを構成する必要はありません。 Azure VMware Solutionでは、各環境の主要プロバイダーが既に提供および管理されています。
vTPM の構成方法
Azure VMware Solutionで VM で vTPM を構成するには、次の手順に従います。
vSphere クライアントを使用して vCenter Server に接続します。
インベントリで、変更する仮想マシンを右クリックし、[ 設定の編集] を選択します。
[設定の編集] ダイアログ ボックスで、[ 新しいデバイスの追加 ] を選択し、[ トラステッド プラットフォーム モジュール] を選択します。
[OK] を選択. 仮想マシンの [概要] タブの [VM Hardware] (VM ハードウェア) ウィンドウに、[Virtual Trusted Platform Module] (仮想トラステッド プラットフォーム モジュール) が表示されます。
重要
VMware vSphere 7 では、仮想マシンを複製すると、VM と vTPM の両方の正確なレプリカが作成されます。 VMware vSphere 8 には、TPM をコピーまたは置き換えるオプションが導入されています。これにより、さまざまなユース ケースをより適切に処理できます。
サポートされていないシナリオ
一部のツールでは、vTPM を使用した VM の移行がサポートされていません。 移行ツールのドキュメントを確認してください。 サポートされていない場合は、VMware のドキュメントに従って vTPM を安全に無効にし、移行後に再度有効にすることができます。