使用虚拟可信平台模块 (Virtual Trusted Platform Module, vTPM) 功能可以向虚拟机添加 TPM 2.0 虚拟加密处理器。

虚拟可信平台模块概览

vTPM 在软件中执行加密协处理器功能。添加到虚拟机后,vTPM 使客户机操作系统能够创建并存储私钥。这些密钥不向客户机操作系统本身公开。因此,虚拟机攻击面会缩小。通常,对于安全受到危害的客户机操作系统,其密钥的安全也会受到危害,但启用 vTPM 可在很大程度上降低此风险。只有客户机操作系统可以使用这些密钥进行加密或签名。借助附加的 vTPM,第三方可以远程证明(验证)固件和客户机操作系统的身份。

可以将 vTPM 添加到新虚拟机,也可以添加到现有虚拟机。vTPM 依赖虚拟机加密来保护重要 TPM 数据。配置 vTPM 时,虚拟机加密会自动对虚拟机文件进行加密,但不会对磁盘进行加密。您可以选择为虚拟机及其磁盘明确添加加密。

还可以备份已启用 vTPM 的虚拟机。备份必须包含虚拟机的所有数据,包括 *.nvram 文件。如果备份不包含 *.nvram 文件,则无法还原已启用 vTPM 的虚拟机。此外,由于已启用 vTPM 的虚拟机的虚拟机主目录文件已加密,因此请确保加密密钥在还原时可用。

vTPM 不要求ESXi主机上存在可信平台模块 (TPM) 2.0 物理芯片。但是,如果要执行主机证明,则需要外部实体,例如 TPM 2.0 物理芯片。有关更多详细信息,请参见《《vSphere 安全性》》文档。

注: 默认情况下,没有任何存储策略与已启用 vTPM 的虚拟机关联。仅对虚拟机文件(虚拟机主目录)进行加密。您可以选择为虚拟机及其磁盘明确添加加密,但虚拟机文件已加密。

vTPM 要求

要使用 vTPM,您的 vSphere 环境必须满足以下要求:

  • 虚拟机要求:
    • EFI 固件
    • 硬件版本 14
  • 组件要求:
    • vCenter Server6.7。
    • 虚拟机加密(用于对虚拟机主目录文件进行加密)。
    • vCenter Server配置的密钥管理服务器 (Key Management Server, KMS)(虚拟机加密依赖 KMS)。有关更多详细信息,请参见《《vSphere 安全性》》文档。
  • 客户机操作系统支持:
    • Windows Server 2016(64 位)
    • Windows 10(64 位)

硬件 TPM 和虚拟 TPM 之间的差别

您可以使用硬件可信平台模块 (TPM) 作为加密协处理器,以便为凭据或密钥提供安全存储。vTPM 可起到与 TPM 相同的作用,但它在软件中执行加密协处理器功能。vTPM 使用 .nvram 文件作为自己的安全存储,该文件使用虚拟机加密进行加密。

硬件 TPM 包含预加载的密钥,称为认可密钥 (Endorsement Key, EK)。EK 包含私钥和公钥。EK 可为 TPM 提供唯一标识。对于 vTPM,该密钥由 VMware Certificate Authority (VMCA) 或第三方证书颁发机构 (Certificate Authority, CA) 提供。vTPM 使用某个密钥后,该密钥通常不会更改,因为更改后会使 vTPM 中存储的敏感信息失效。vTPM 在任何时候都不会与 CA 联系。