Os vTPMs fornecem funções relacionadas à segurança baseadas em hardware, como geração de números aleatórios, atestado, geração de chaves e muito mais. Quando adicionado a uma máquina virtual, um vTPM permite que o sistema operacional convidado crie e armazene chaves privadas. Essas chaves não são expostas ao próprio sistema operacional convidado. Portanto, a superfície de ataque da máquina virtual é reduzida. Normalmente, comprometer o sistema operacional convidado compromete seus segredos, mas a ativação de um vTPM reduz bastante esse risco. Essas chaves só podem ser usadas pelo sistema operacional convidado para criptografia ou assinatura. Com um vTPM anexado, um cliente pode atestar remotamente a identidade da máquina virtual e verificar o software que está sendo executado.

Um vTPM não requer que um chip físico do Trusted Platform Module (TPM) 2.0 esteja presente no host ESXi. No entanto, se você quiser realizar o atestado de host, será necessária uma entidade externa, como um chip físico do TPM 2.0. Para obter mais detalhes, consulte a documentação vSphere Segurança.

Como configurar um vTPM para uma máquina virtual

Do ponto de vista da máquina virtual, um vTPM é um dispositivo virtual. Você pode adicionar um vTPM a uma máquina virtual nova ou existente. Um vTPM depende da criptografia da máquina virtual para proteger dados vitais do TPM. Portanto, é preciso configurar um provedor de chaves. Quando você configura um vTPM, os arquivos da máquina virtual são criptografados, mas não os discos. Você pode optar por adicionar criptografia explicitamente para a máquina virtual e seus discos.

Quando você faz backup de uma máquina virtual habilitada com um vTPM, o backup deve incluir todos os dados da máquina virtual, incluindo o arquivo *.nvram. Se o backup não incluir o arquivo *.nvram, você não poderá restaurar uma máquina virtual com um vTPM. Além disso, como os arquivos iniciais da VM de uma máquina virtual habilitada para vTPM são criptografados, certifique-se de que as chaves de criptografia estejam disponíveis no momento de uma restauração.

A partir do vSphere 8.0, ao clonar uma máquina virtual com um vTPM, a seleção da opção Substituir (Replace) para uma máquina virtual com um vTPM começa com um novo vTPM em branco, que obtém seus próprios segredos e identidade. Quando você substitui os segredos de um vTPM, todas as chaves, incluindo as relacionadas à carga de trabalho, são substituídas. Como prática recomendada, certifique-se de que suas cargas de trabalho não usem mais um vTPM antes de substituir as chaves. Caso contrário, as cargas de trabalho na máquina virtual clonada podem não funcionar corretamente.

vSphere Requisitos para vTPMs

Para usar um vTPM, seu ambiente vSphere deve atender a estes requisitos:

• Requisitos da máquina virtual:
  • Firmware EFI
  • Hardware versão 14 e posterior
• Requisitos do componente:
  • vCenter Server 6.7 e posterior para máquinas virtuais Windows, vCenter Server 7.0 Update 2 e posterior para máquinas virtuais Linux.
  • Criptografia da máquina virtual (para criptografar os arquivos iniciais da máquina virtual).
  • Provedor de chaves configurado para vCenter Server. Para obter mais detalhes, consulte a documentação vSphere Segurança.
• Suporte ao SO convidado:
  • Linux
  • Windows Server 2008 e posteriores
  • Windows 7 e posterior

Diferenças entre um TPM de hardware e um TPM virtual

Você usa um Trusted Platform Module (TPM) de hardware para fornecer armazenamento seguro de credenciais ou chaves. Um vTPM executa as mesmas funções que um TPM, mas executa recursos de coprocessador criptográfico no software. Um vTPM usa o arquivo .nvram, que é criptografado usando a criptografia de máquina virtual, como seu armazenamento seguro.

Um TPM de hardware inclui uma chave pré-carregada chamada Chave de Endosso (EK). O EK tem uma chave privada e pública. O EK fornece ao TPM uma identidade exclusiva. Para um vTPM, essa chave é fornecida pelo VMware Certificate Authority (VMCA) ou por uma autoridade de certificação (CA) de terceiros. Depois que o vTPM usa uma chave, ela normalmente não é alterada, pois isso invalida as informações confidenciais armazenadas no vTPM. O vTPM não entra em contato com a CA de terceiros em nenhum momento.