Partilhar via

Inicialização Segura para a Solução Azure VMware

Neste artigo, saiba mais sobre o Trusted Launch e como configurar o Virtual Trusted Platform Module (vTPM) em Máquinas Virtuais no Solução VMware no Azure. O Trusted Launch é uma solução de segurança abrangente que engloba três componentes principais: Inicialização Segura, Virtual Trusted Platform Module (vTPM) e segurança baseada em virtualização (VBS). Cada um desses componentes desempenha um papel vital no fortalecimento da postura de segurança das VMs.

Diagrama mostrando os três pilares do lançamento confiável, Inicialização Segura, Virtual Trusted Platform Module e Segurança baseada em virtualização.

Benefícios

• Implante de forma segura VMs com carregadores de inicialização verificados, kernels do sistema operativo e drivers.

• Proteja com segurança chaves, certificados e segredos nas VMs.

• Obter compreensão e confiança na integridade de toda a cadeia de inicialização.

• Garantir que as cargas de trabalho sejam confiáveis e verificáveis.

Arranque Seguro

O Secure Boot é a linha da frente da defesa no Trusted Launch. Ele estabelece uma "raiz de confiança" para VMs, garantindo que apenas sistemas operacionais e drivers assinados tenham permissão para inicializar. O Secure Boot impede a instalação de rootkits e bootkits baseados em malware, o que pode comprometer a segurança de todo o sistema. Com o Secure Boot ativado, garanta que todos os aspetos do processo de arranque (desde o carregador de arranque ao kernel e aos drivers do kernel) são assinados digitalmente por editores de confiança. As assinaturas digitais criam um escudo robusto contra modificações não autorizadas e garantem que as VMs iniciam num estado seguro e de confiança.

Módulo de plataforma confiável virtual (vTPM)

O vTPM é uma versão virtualizada de um dispositivo de hardware Trusted Platform Module (TPM) 2.0. Ele serve como um cofre seguro dedicado para armazenar chaves, certificados e segredos. O que diferencia o vTPM é sua capacidade de operar em um ambiente seguro fora do alcance de qualquer VM, tornando-o inviolável e altamente seguro. Uma das principais funções do vTPM é o atestado. Mede toda a cadeia de arranque de uma VM, incluindo a Unified Extensible Firmware Interface (UEFI), sistema operativo, componentes do sistema e drivers, para certificar que a VM arrancou de forma segura. O mecanismo de atestação é inestimável para verificar a integridade das VMs e garantir que não são comprometidas.

Segurança baseada em Virtualização (VBS)

A Segurança Baseada em Virtualização (VBS) é a peça final do quebra-cabeça do Lançamento Confiável. Utiliza o hipervisor para criar regiões de memória isoladas e seguras dentro da VM. O VBS usa a virtualização para melhorar a segurança do sistema criando um subsistema especializado, restrito ao hipervisor. Oferece proteção contra o acesso não autorizado de credenciais, previne a execução de malware no sistema Windows e garante que apenas código confiável seja executado a partir do bootloader.

Configure o Virtual Trusted Platform Module (vTPM) em Máquinas Virtuais com Solução VMware no Azure

Esta secção demonstra como ativar o Módulo Virtual de Plataforma Confiável (vTPM) numa máquina virtual VMware vSphere (VM) a correr no Solução VMware no Azure.

Um virtual Trusted Platform Module (vTPM) no VMware vSphere é uma contrapartida virtual de um chip TPM 2.0 físico, utilizando criptografia VM. Ele fornece as mesmas funcionalidades que um TPM físico, mas opera dentro de VMs. Cada VM pode ter seu próprio vTPM exclusivo e isolado, que ajuda a proteger informações confidenciais e manter a integridade do sistema. Esta configuração permite que as VMs apliquem funcionalidades de segurança como a encriptação de disco BitLocker e autentiquem dispositivos virtuais de hardware, criando um ambiente virtual mais seguro.

Pré-requisitos

Antes de configurar o vTPM numa VM no Solução VMware no Azure, certifique-se de que os seguintes pré-requisitos são cumpridos:

  • A máquina virtual deve usar firmware EFI.
  • A máquina virtual deve estar na versão de hardware 14 ou posterior.
  • Suporte a SO convidado: Linux, Windows Server 2008 e posteriores, Windows 7 e versões posteriores.

Importante

Os clientes não precisam de configurar um fornecedor de chaves para usar o vTPM com o Solução VMware no Azure. O Solução VMware no Azure já fornece e gere os principais fornecedores para cada ambiente.

Como configurar o vTPM

Para configurar o vTPM numa VM no Solução VMware no Azure, siga estes passos:

  1. Conecte-se ao vCenter Server usando o vSphere Client.

  2. No inventário, clique com o botão direito na máquina virtual que quer modificar e selecione Editar Definições.

Diagrama mostrando como ativar o vTPM numa máquina virtual em Solução VMware no Azure.

  1. Na caixa de diálogo Editar Definições, selecione Adicionar Novo Dispositivo e escolha Módulo de Plataforma Confiável.

  2. Selecione OK. A guia Resumo da máquina virtual exibe o Módulo de Plataforma Virtual Confiável no painel Hardware da VM.

Importante

No VMware vSphere 7, a clonagem de uma máquina virtual cria uma réplica exata da VM e do vTPM. O VMware vSphere 8 introduz opções para copiar ou substituir o TPM, o que permite uma melhor gestão de diferentes casos de uso.

Cenários não suportados

Algumas ferramentas não suportam migrações de VMs com vTPM. Verifique a documentação da ferramenta de migração. Se não for suportado, você pode seguir a documentação do VMware para desativar com segurança o vTPM e reativá-lo após a migração.

Mais informações

Segurança de Máquinas Virtuais com Módulo de Plataforma de Confiança Virtual

O que é um Virtual Trusted Platform Module

vSphere Virtual TPM (vTPM) Perguntas & Respostas

  • Last updated on