Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u meer informatie over Trusted Launch en het configureren van Virtual Trusted Platform Module (vTPM) op Virtual Machines in Azure VMware Solution. Trusted Launch is een uitgebreide beveiligingsoplossing die drie belangrijke onderdelen omvat: Secure Boot, Virtual Trusted Platform Module (vTPM) en Beveiliging op basis van virtualisatie (VBS). Elk van deze onderdelen speelt een belangrijke rol bij het versterken van het beveiligingspostuur van VM's.
Voordelen
• Implementeer virtuele machines met geverifieerde opstartlaadders, besturingssysteemkernels en stuurprogramma's.
• Beveilig sleutels, certificaten en geheimen veilig in de VM's.
• Krijg inzicht en vertrouwen in de integriteit van de gehele bootketen.
• Zorg ervoor dat workloads vertrouwd en verifieerbaar zijn.
Beveiligd opstarten
'Secure Boot' is de frontlinie van verdediging in 'Trusted Launch'. Een 'vertrouwensbasis' voor VM's wordt vastgesteld door ervoor te zorgen dat alleen ondertekende besturingssystemen en stuurprogramma's kunnen worden opgestart. Beveiligd opstarten voorkomt de installatie van op malware gebaseerde rootkits en bootkits, waardoor de beveiliging van het hele systeem kan worden aangetast. Als Beveiligd opstarten is ingeschakeld, zorgt u ervoor dat elk aspect van het opstartproces (van het opstartlaadprogramma naar de kernel- en kernelstuurprogramma's) digitaal wordt ondertekend door vertrouwde uitgevers. De digitale handtekeningen maken een robuust schild tegen niet-geautoriseerde wijzigingen en zorgen ervoor dat de VM's in een veilige en vertrouwde status worden gestart.
Virtuele Trusted Platform Module (vTPM)
VTPM is een gevirtualiseerde versie van een TPM 2.0-apparaat (Trusted Platform Module). Het fungeert als een toegewezen beveiligde kluis voor het opslaan van sleutels, certificaten en geheimen. Wat vTPM onderscheidt, is het vermogen om te functioneren in een beveiligde omgeving buiten het bereik van een virtuele machine, waardoor het bestand is tegen manipulatie en zeer veilig is. Een van de belangrijkste functies van vTPM is attestation. Het meet de volledige opstartketen van een VIRTUELE machine, waaronder Unified Extensible Firmware Interface (UEFI), OS, systeemonderdelen en stuurprogramma's om te certificeren dat de VIRTUELE machine veilig is opgestart. Het attestation-mechanisme is waardevol voor het verifiëren van de integriteit van VM's en ervoor te zorgen dat ze niet worden aangetast.
Beveiliging op basis van virtualisatie (VBS)
Beveiliging op basis van virtualisatie (VBS) is het laatste stukje van de trusted launch puzzel. Deze maakt gebruik van de hypervisor om geïsoleerde, beveiligde geheugenregio's binnen de VIRTUELE machine te maken. VBS maakt gebruik van virtualisatie om de systeembeveiliging te verbeteren door een geïsoleerd, beperkt, gespecialiseerd subsysteem met hypervisor te maken. Het biedt bescherming tegen onbevoegde toegang tot inloggegevens, voorkomt dat malware op het Windows-systeem kan worden uitgevoerd, en zorgt ervoor dat alleen vertrouwde code wordt uitgevoerd vanaf de bootloader en verder.
Virtual Trusted Platform Module (vTPM) configureren op Virtual Machines met Azure VMware Solution
In deze sectie ziet u hoe u de virtuele Trusted Platform Module (vTPM) inschakelt in een virtuele VMware vSphere-machine (VM) die wordt uitgevoerd in Azure VMware Solution.
Een virtuele Trusted Platform Module (vTPM) in VMware vSphere is een virtuele tegenhanger van een fysieke TPM 2.0-chip die gebruikmaakt van VM-versleuteling. Het biedt dezelfde functies als een fysieke TPM, maar werkt binnen VM's. Elke VIRTUELE machine kan een eigen unieke en geïsoleerde vTPM hebben, waarmee gevoelige informatie kan worden beveiligd en de systeemintegriteit behouden blijft. Met deze instelling kunnen VM's beveiligingsfuncties zoals BitLocker-schijfversleuteling toepassen en virtuele hardwareapparaten verifiëren om een veiligere virtuele omgeving te maken.
Prerequisites
Voordat u vTPM configureert op een VIRTUELE machine in Azure VMware Solution, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:
- De virtuele machine moet EFI-firmware gebruiken.
- De virtuele machine moet hardwareversie 14 of hoger hebben.
- Ondersteuning voor gastbesturingssystemen: Linux, Windows Server 2008 en hoger, Windows 7 en hoger.
Belangrijk
Klanten hoeven geen sleutelprovider te configureren voor het gebruik van vTPM met Azure VMware Solution. Azure VMware Solution al belangrijke providers biedt en beheert voor elke omgeving.
Hoe vTPM configureren
Voer de volgende stappen uit om vTPM te configureren op een VIRTUELE machine in Azure VMware Solution:
Maak verbinding met vCenter Server met behulp van de vSphere-client.
Klik in de inventaris met de rechtermuisknop op de virtuele machine die u wilt wijzigen en selecteer Instellingen bewerken.
Selecteer In het dialoogvenster Instellingen bewerken de optie Nieuw apparaat toevoegen en kies Trusted Platform Module.
Kies OK. Op het tabblad Samenvatting van de virtuele machine wordt de module Virtual Trusted Platform weergegeven in het deelvenster VM-hardware.
Belangrijk
In VMware vSphere 7 maakt het klonen van een virtuele machine een exacte replica van zowel de virtuele machine als de vTPM. VMware vSphere 8 introduceert opties voor het kopiëren of vervangen van de TPM, waardoor verschillende use cases beter kunnen worden verwerkt.
Niet ondersteunde scenario's
Sommige hulpprogramma's bieden geen ondersteuning voor migraties van VM's met vTPM. Raadpleeg de documentatie van het hulpprogramma voor migratie. Als dit niet wordt ondersteund, kunt u de VMware-documentatie volgen om vTPM veilig uit te schakelen en deze na de migratie opnieuw in te schakelen.
Meer informatie
Het Beveiligen van Virtuele Machines met een Virtuele Vertrouwde Platformmodule