Para proteger o conteúdo do enclave contra divulgação e modificações, você pode ativar o vSGX em uma máquina virtual no VMware Host Client.

Algumas operações e recursos não são compatíveis com o SGX.

  • Migração com o Storage vMotion
  • Suspendendo ou retomando a máquina virtual
  • Tirando um snapshot da máquina virtual
  • Tolerância a Falhas
  • Habilitando a integridade do convidado (GI, plataforma de base para o VMware AppDefense 1.0)

Pré-requisitos

  • Desligue a máquina virtual.

  • Verifique se a máquina virtual usa o firmware EFI.
  • Verifique se o host ESXi tem a versão 7.0 ou posterior.
  • Verifique se o sistema operacional convidado na máquina virtual é Linux, Windows 10 (64 bits) ou posterior, ou Windows Server 2016 (64 bits) ou posterior.
  • Verifique se você tem o privilégio Máquina virtual . Configuração . Modificar configurações do dispositivo na máquina virtual.
  • Verifique se o host ESXi está instalado em uma CPU compatível com SGX e se o SGX está ativado no BIOS do host ESXi. Para obter informações sobre as CPUs compatíveis, consulte https://kb.vmware.com/s/article/71367 .

Procedimento

  1. No inventário do VMware Host Client, clique em Máquinas Virtuais (Virtual Machines).
  2. Clique com o botão direito do mouse em uma máquina virtual na lista e selecione Edit settings (Edit settings) no menu pop-up.
  3. Na guia Hardware Virtual (Virtual Hardware), expanda Dispositivos de segurança (Security devices).
  4. Marque a caixa de seleção Ativar (Enable).
  5. Em Enclave page cache size (Enclave page cache size), insira um novo valor na caixa de texto e selecione o tamanho em MB ou GB no menu suspenso.
    Observação: O tamanho do cache da página do enclave deve ser um múltiplo de 2.
  6. No menu suspenso Launch control configuration (Launch control configuration), selecione o modo apropriado.
    Opção Ação
    Bloqueado Ativa a configuração do enclave de inicialização.

    Em Launch enclave public key hash (Launch enclave public key hash), insira um hash SHA256 válido.

    A chave de hash SHA256 deve conter 64 caracteres.
    Desbloqueado Ativa a configuração de enclave de inicialização do sistema operacional guest.
  7. Clique em Salvar(Save).