Compartilhar via

Início confiável para a solução VMware no Azure

Neste artigo, saiba mais sobre o Lançamento Confiável e como configurar o VTPM (Virtual Trusted Platform Module) em Máquinas Virtuais no Solução VMware no Azure. O Início confiável é uma solução de segurança abrangente que abrange três componentes principais: inicialização segura, Virtual Trusted Platform Module (vTPM) e segurança baseada em virtualização (VBS). Cada um desses componentes desempenha um papel vital no fortalecimento da postura de segurança das VMs.

Diagrama mostrando os três pilares de início confiável, Inicialização Segura, Trusted Platform Module e Segurança Baseada em Virtualização.

Benefícios

• Implante com segurança as VMs com carregadores de inicialização verificados, núcleos do sistema operacional e drivers.

• Proteja com segurança chaves, certificados e segredos nas VMs.

• Garanta insights e confiança sobre a integridade de toda a cadeia de inicialização do sistema.

• Garanta que as cargas de trabalho sejam confiáveis ​​e verificáveis.

Inicialização Segura

O Secure Boot é a linha de frente da defesa no Trusted Launch. Ele estabelece uma "raiz de confiança" para VMs, garantindo que somente sistemas operacionais e drivers assinados tenham permissão para inicializar. A Inicialização Segura impede a instalação de rootkits e kits de inicialização baseados em malware, o que pode comprometer a segurança de todo o sistema. Com a Inicialização Segura habilitada, garanta que todos os aspectos do processo de inicialização (do carregador de inicialização ao kernel e aos drivers do kernel) sejam assinados digitalmente por editores confiáveis. As assinaturas digitais criam um escudo robusto contra modificações não autorizadas e garantem que as VMs sejam iniciadas em um estado seguro e confiável.

vTPM (Virtual Trusted Platform Module)

O vTPM é uma versão virtualizada de um dispositivo de hardware Trusted Platform Module (TPM) 2.0. Ele serve como um cofre seguro dedicado para armazenar chaves, certificados e segredos. O que diferencia o vTPM é sua capacidade de operar em um ambiente seguro, fora do alcance de qualquer VM, o que o torna resistente a violações e altamente seguro. Uma das principais funções do vTPM é a atestação. Ele mede toda a cadeia de inicialização de uma VM, incluindo UEFI (Unified Extensible Firmware Interface), SO, componentes do sistema e drivers para certificar que a VM foi inicializada com segurança. O mecanismo de atestado é inestimável para verificar a integridade das VMs e garantir que elas não sejam comprometidas.

VBS (Segurança Baseada em Virtualização)

A VBS (segurança baseada em virtualização) é a parte final do quebra-cabeça de Início Confiável. Ele usa o hipervisor para criar regiões de memória isoladas e seguras dentro da VM. O VBS usa a virtualização para aumentar a segurança do sistema criando um subsistema especializado, isolado e restrito ao hipervisor. Ele fornece proteção contra acesso não autorizado de credenciais, impede a execução de malware no sistema Windows e garante que apenas código confiável seja executado a partir do carregador de inicialização.

Configurar o VTPM (Virtual Trusted Platform Module) no Máquinas Virtuais com Solução VMware no Azure

Esta seção demonstra como habilitar o vTPM (Trusted Platform Module) virtual em uma VM (máquina virtual) VMware vSphere em execução em Solução VMware no Azure.

Um vTPM (Virtual Trusted Platform Module) no VMware vSphere é um equivalente virtual de um chip TPM 2.0 físico, utilizando a Criptografia de VM. Ele fornece as mesmas funcionalidades de um TPM físico, mas opera dentro de VMs. Cada VM pode ter seu próprio vTPM exclusivo e isolado, o que ajuda a proteger informações confidenciais e manter a integridade do sistema. Essa configuração permite que as VMs apliquem recursos de segurança como a criptografia de disco do BitLocker e autentiquem dispositivos de hardware virtual para criar um ambiente virtual mais seguro.

Pré-requisitos

Antes de configurar o vTPM em uma VM no Solução VMware no Azure, verifique se os seguintes pré-requisitos são atendidos:

  • A máquina virtual deve usar firmware EFI.
  • A máquina virtual deve estar no hardware versão 14 ou posterior.
  • Suporte ao sistema operacional convidado: Linux, Windows Server 2008 e posterior, Windows 7 e posterior.

Importante

Os clientes não precisam configurar um provedor de chaves para usar o vTPM com Solução VMware no Azure. Solução VMware no Azure já fornece e gerencia os principais provedores para cada ambiente.

Como configurar o vTPM

Para configurar o vTPM em uma VM no Solução VMware no Azure, siga estas etapas:

  1. Conecte-se ao vCenter Server usando o cliente vSphere.

  2. No inventário, clique com o botão direito do mouse na máquina virtual que você deseja modificar e selecione Editar Configurações.

Diagrama mostrando como habilitar o vTPM em uma máquina virtual em Solução VMware no Azure.

  1. Na caixa de diálogo Editar Configurações, selecione Adicionar Novo Dispositivo e escolha Módulo de Plataforma Confiável.

  2. Selecione OK. A guia Resumo da máquina virtual exibe o Módulo de Plataforma Confiável Virtual no painel Hardware da VM.

Importante

No VMware vSphere 7, a clonagem de uma máquina virtual cria uma réplica exata da VM e do vTPM. O VMware vSphere 8 apresenta opções para copiar ou substituir o TPM, o que permite uma melhor manipulação de diferentes casos de uso.

Cenários sem suporte

Algumas ferramentas não dão suporte a migrações de VMs com o vTPM. Verifique a documentação da ferramenta de migração. Se não for suportado, você pode seguir a documentação da VMware para desabilitar o vTPM com segurança e ativá-lo novamente após a migração.

Mais informações

Protegendo Máquinas Virtuais com o Módulo de Plataforma Confiável Virtual

O que é um Virtual Trusted Platform Module

Perguntas e respostas do vTPM (vSphere Virtual TPM)

  • Last updated on