vSphere permite configurar o Virtual Intel® Software Guard Extensions (vSGX) para máquinas virtuais. O uso do vSGX permite que você forneça segurança adicional às suas cargas de trabalho.

Algumas CPUs Intel modernas implementam uma extensão de segurança chamada Intel® Software Guard Extensions (Intel® SGX). A Intel SGX é uma tecnologia específica do processador para desenvolvedores de aplicativos que buscam proteger códigos e dados selecionados contra divulgação ou modificação. A Intel SGX permite que o código no nível do usuário defina regiões privadas de memória, chamadas de enclaves. O conteúdo do enclave é protegido de forma que o código em execução fora do enclave não possa acessar o conteúdo do enclave.

O vSGX permite que as máquinas virtuais usem a tecnologia Intel SGX, se disponível no hardware. Para usar o vSGX, o host ESXi deve estar instalado em uma CPU compatível com SGX e o SGX deve estar ativado no BIOS do host ESXi. Você pode usar o vSphere Client para habilitar o SGX para uma máquina virtual.

No vSphere 8.0 e posterior, você pode usar o atestado remoto para uma máquina virtual habilitada para vSGX. O atestado remoto Intel SGX é um mecanismo de segurança que permite estabelecer um canal de comunicação autenticado e seguro com uma entidade remota confiável. Para usar o atestado remoto para máquinas virtuais que usam enclaves SGX, os hosts com um único soquete de CPU não exigem o registro da Intel. Para habilitar o atestado remoto em uma máquina virtual em execução em um host com vários soquetes de CPU, você deve primeiro registrar o host com o servidor de registro Intel. Se um host compatível com SGX com vários soquetes de CPU não estiver registrado com o Servidor de registro Intel, você só poderá ligar máquinas virtuais habilitadas para vSGX que não exijam atestado remoto.

Consulte a documentação do vCenter Server e gerenciamento de host para obter mais informações sobre como registrar um host de vários soquetes ESXi com o Servidor de registro Intel.

Conceitos básicos do vSGX

As máquinas virtuais podem usar a tecnologia Intel SGX, se disponível no hardware.

vSphere Requisitos para o vSGX

Para usar o vSGX, seu ambiente vSphere deve atender a estes requisitos:

  • Requisitos da máquina virtual:
    • Firmware EFI
    • Hardware versão 17 ou posterior
    • Para habilitar o atestado remoto, hardware versão 20 ou posterior
  • Requisitos do componente:
    • vCenter Server 7.0 e posterior
    • ESXi 7.0 e posterior
    • O host ESXi deve ser instalado em uma CPU compatível com SGX e o SGX deve estar ativado no BIOS do host ESXi.
    • Para habilitar o atestado remoto para o host, registre o host no Servidor de registro Intel. Dessa forma, a máquina virtual em execução no host pode usar o atestado remoto. Para obter mais informações sobre como registrar um ESXi de vários soquetes, consulte a documentação do vCenter Server e gerenciamento de host.
  • Suporte ao SO convidado:
    • Linux
    • Windows Server 2016 (64 bits) e posterior
    • Windows 10 (64 bits) e posterior

Hardware Intel compatível para vSGX

Para obter o hardware Intel compatível com o vSGX, consulte o Guia de Compatibilidade do VSphere em https://www.vmware.com/resources/compatibility/search.php.

Talvez seja necessário desativar o hyperthreading em determinadas CPUs para ativar o SGX no host ESXi. Para obter mais informações, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/71367.

Recursos do VMware não compatíveis no vSGX

Os seguintes recursos não são compatíveis com uma máquina virtual quando o vSGX está ativado:

  • migração do vMotion/DRS
  • Suspensão e retomada da máquina virtual
  • Instantâneos de máquina virtual (Snapshots de máquina virtual são suportados se você não tirar um instantâneo da memória da máquina virtual.)
  • Tolerância a falhas
  • Integridade do convidado (GI, base da plataforma para VMware AppDefense™ 1.0)
Observação:

Esses VMware recursos não são compatíveis devido ao modo como a arquitetura Intel SGX funciona. Eles não são o resultado de uma falha VMware.

Habilitar o vSGX em uma máquina virtual

Você pode habilitar o vSGX em uma máquina virtual ao mesmo tempo em que cria uma máquina virtual.

Pré-requisitos

Consulte vSphere Requisitos para o vSGX.

Procedimento

  1. Conecte-se a vCenter Server usando o vSphere Client.
  2. Selecione um objeto no inventário que seja um objeto pai válido de uma máquina virtual, por exemplo, um host ESXi ou um cluster.
  3. Clique com o botão direito do mouse no objeto, selecione Nova máquina virtual (New Virtual Machine) e siga os prompts para criar uma máquina virtual.
  4. Na página Personalizar hardware (Customize hardware), clique na guia Hardware virtual (Virtual Hardware) e expanda Dispositivos de segurança (Security Devices).
  5. Para ativar o SGX, marque a caixa de seleção Ativar (Enable).
  6. Na caixa de texto Enclave page cache size (MB), digite o tamanho do cache em MB.
    Observação: O tamanho do cache da página do enclave deve ser múltiplo de 2 MB.
  7. Para evitar que a máquina virtual ligue hosts que não oferecem suporte ao atestado remoto SGX, como hosts SGX de vários soquetes não registrados, marque a caixa de seleção Atestado remoto (Remote attestation).
  8. No menu suspenso Iniciar configuração do controle (Launch control configuration), selecione o modo apropriado.
    Opção Ação
    Desbloqueado Essa opção ativa a configuração do enclave de inicialização do sistema operacional convidado.
    Bloqueado Essa opção permite configurar o enclave de inicialização.
    1. Selecione a opção Iniciar hash de chave pública do enclave (Launch enclave public key hash).
    2. Para usar uma das chaves públicas configuradas no host, selecione Usar do host (Use from host) e, no menu suspenso, selecione um hash de chave pública.
    3. Para inserir a chave pública manualmente, selecione Inserir manualmente (Enter manually) e digite uma chave de hash SHA256 (64) caracteres válida.
  9. Clique em OK.

Habilitar o vSGX em uma máquina virtual existente

Você pode habilitar o vSGX em uma máquina virtual existente.

Pré-requisitos

Consulte vSphere Requisitos para o vSGX.

Procedimento

  1. Conecte-se a vCenter Server usando o vSphere Client.
  2. Clique com o botão direito do mouse na máquina virtual no inventário que você deseja modificar e selecione Editar configurações (Edit Settings).
  3. Na guia Hardware virtual (Virtual Hardware), expanda Dispositivos de segurança (Security Devices).
  4. Para ativar o SGX, marque a caixa de seleção Ativar (Enable).
  5. Na caixa de texto Enclave page cache size (MB), digite o tamanho do cache em MB.
    Observação: O tamanho do cache da página do enclave deve ser múltiplo de 2 MB.
  6. Para evitar que a máquina virtual ligue hosts que não oferecem suporte ao atestado remoto SGX, como hosts SGX de vários soquetes não registrados, marque a caixa de seleção Atestado remoto (Remote attestation).
  7. No menu suspenso Iniciar configuração do controle (Launch control configuration), selecione o modo apropriado.
    Opção Ação
    Desbloqueado Essa opção ativa a configuração do enclave de inicialização do sistema operacional convidado.
    Bloqueado Essa opção permite configurar o enclave de inicialização.
    1. Selecione a opção Iniciar hash de chave pública do enclave (Launch enclave public key hash).
    2. Para usar uma das chaves públicas configuradas no host, selecione Usar do host (Use from host) e, no menu suspenso, selecione um hash de chave pública.
    3. Para inserir a chave pública manualmente, selecione Inserir manualmente (Enter manually) e digite uma chave de hash SHA256 (64) caracteres válida.
  8. Clique em OK.

Remover o vSGX de uma máquina virtual

Você pode remover o vSGX de uma máquina virtual.

Procedimento

  1. Conecte-se a vCenter Server usando o vSphere Client.
  2. Clique com o botão direito do mouse na máquina virtual no inventário que você deseja modificar e selecione Editar configurações (Edit Settings).
  3. Na caixa de diálogo Editar configurações (Edit Settings), em Dispositivos de segurança (Security devices), desmarque a caixa de seleção Ativar (Enable) para SGX.
  4. Clique em OK.
    Verifique se a entrada vSGX não aparece mais na guia Resumo da máquina virtual no painel VM Hardware.