在虚拟机中运行的客户机操作系统容易遭受与任何物理系统相同的安全风险。

要提高虚拟环境的安全性,可向 ESXi 主机添加虚拟可信平台模块 (vTPM)。也可以对运行最新 Windows 10 和 Windows Server 2016 操作系统的虚拟机启用基于虚拟化的安全 (VBS)。可以使用虚拟机的虚拟 Intel® Software Guard Extensions (vSGX) 为工作负载提供额外的安全保护。

VMware Host Client 中激活虚拟机上的 vSGX

为了防止安全区内容遭到泄露和修改,可以在 VMware Host Client 中激活虚拟机上的 vSGX。

使用 vSGX 保护虚拟机
vSphere 允许您为虚拟机配置 vSGX。一些现代 Intel CPU 实施了名为 Intel ® Software Guard Extension (Intel ® SGX) 的安全扩展。Intel SGX 允许用户级代码定义内存的专用区域,称为安全区。Intel SGX 可保护安全区内容免遭泄露或修改,采用的保护方式为在安全区外部运行的代码无法访问安全区内容。
vSGX 使虚拟机能够使用 Intel SGX 技术(如果在硬件上可用)。要使用 vSGX, ESXi 主机必须安装在支持 SGX 的 CPU 上,并且必须在 ESXi 主机的 BIOS 中启用 SGX。可以使用 vSphere Client 为虚拟机启用 SGX。有关详细信息,请参见 《vSphere 安全性》文档。

某些操作和功能与 SGX 不兼容。

  • 通过 Storage vMotion 迁移
  • 挂起或恢复虚拟机
  • 创建虚拟机快照
  • Fault Tolerance
  • 启用客户机完整性(GI,VMware AppDefense 1.0 的平台基础)

前提条件

  • 关闭虚拟机电源。

  • 确认虚拟机使用 EFI 固件。
  • 确认 ESXi 主机的版本均为 7.0 或更高版本。
  • 确认虚拟机中的客户机操作系统是 Linux、Windows 10(64 位)及更高版本,或者是 Windows Server 2016(64 位)及更高版本。
  • 确认您在虚拟机上具有虚拟机.配置.修改设备设置特权。
  • 确认 ESXi 主机已安装在支持 SGX 的 CPU 上,并且必须在 ESXi 主机的 BIOS 中启用 SGX。有关受支持 CPU 的信息,请参见 https://kb.vmware.com/s/article/71367

过程

  1. VMware Host Client 清单中,单击 虚拟机
  2. 在列表中右键单击某个虚拟机,然后从弹出菜单中选择编辑设置
  3. 虚拟硬件选项卡上,展开安全设备
  4. 选择启用复选框。
  5. 安全区页面缓存大小下的文本框中输入一个新值,然后从下拉菜单中选择大小(以 MB 或 GB 为单位)。
    注: 安全区页面缓存大小必须为 2 的倍数。
  6. 启动控制配置下拉菜单中,选择相应的模式。
    选项 操作
    已锁定 激活启动安全区配置。

    启动安全区公钥哈希下,输入有效的 SHA256 哈希。

    SHA256 哈希密钥必须包含 64 个字符。
    已解锁 激活客户机操作系统的启动安全区配置。
  7. 单击保存

VMware Host Client 中停用虚拟机上的 vSGX

要在虚拟机上停用 vSGX,可以使用 VMware Host Client

过程

  1. VMware Host Client 清单中,单击 虚拟机
  2. 在列表中右键单击某个虚拟机,然后从弹出菜单中选择编辑设置
  3. 虚拟硬件选项卡上,展开安全设备
  4. 取消选中启用复选框,然后单击保存

结果

在此虚拟机上停用了 vSGX。

VMware Host Client 中的虚拟机中移除 vTPM 设备

可信平台模块 (TPM) 是一个专用芯片,存储特定于主机的敏感信息(例如私钥和操作系统密钥)。TPM 芯片还用于执行加密任务并证明平台的完整性。在 VMware Host Client 中,只能从虚拟机中移除 vTPM 设备。

虚拟 TPM 设备是 TPM 功能的软件模拟。可以向环境中的虚拟机添加虚拟 TPM (vTPM) 设备。vTPM 实现不要求主机上存在物理 TPM 芯片。ESXi 借助 vTPM 设备在 vSphere 环境中使用 TPM 功能。

vTPM 对运行 Windows 10 和 Windows Server 2016 操作系统的虚拟机可用。虚拟机必须使用硬件版本 14 或更高版本。

vCenter Server 实例中,只能向虚拟机添加虚拟 TPM 设备。有关详细信息,请参见《vSphere 安全性》文档。

VMware Host Client 中,只能从虚拟机中移除虚拟 TPM 设备。

前提条件

  • 虚拟机必须使用硬件版本 14 或更高版本。
  • 客户机操作系统必须为 Windows 10 或 Windows Server 2016 及更高版本。
  • 必须关闭虚拟机电源。

过程

  1. VMware Host Client 清单中单击虚拟机
  2. 在列表中右键单击某个虚拟机,然后从弹出菜单中选择编辑设置
  3. 虚拟硬件选项卡上,找到 TPM 设备,然后单击移除图标。
    虚拟 TPM 设备将从虚拟机上移除。
  4. 单击保存以关闭向导。

VMware Host Client 中的现有虚拟机上激活或停用基于虚拟化的安全

基于虚拟化的安全 (VBS) 使用基于 Microsoft Hyper-V 的虚拟化技术在单独的虚拟化环境中隔离核心 Windows 操作系统服务。该隔离提供了另一层保护,因为它确保环境中的关键服务不会被操作。

对于受支持的 Windows 客户机操作系统,可以通过在现有虚拟机上启用或禁用 Microsoft 基于虚拟化的安全 (VBS) 来更改虚拟机的安全级别。

在虚拟机上激活 VBS 会自动激活 Windows 使用 VBS 功能所需的虚拟硬件。启用 VBS 后,Hyper-V 的变体会在虚拟机中运行,并且 Windows 会开始在 Hyper-V 根分区内运行。

VBS 在最新 Windows 操作系统版本中可用,例如 Windows 10 和 Windows Server 2016。要在虚拟机中使用 VBS,虚拟机必须与 ESXi 6.7 及更高版本兼容。

VMware Host Client 中,可以在创建虚拟机期间激活 VBS。或者,可以为现有虚拟机激活或停用 VBS。

前提条件

配置 VBS 的过程包括两个步骤,第一步是在虚拟机中激活 VBS,第二步是在客户机操作系统中激活 VBS。
注: 默认情况下,为低于版本 14 的硬件版本上的 Windows 10、Windows Server 2016 和 Windows Server 2019 配置的新虚拟机是使用旧版 BIOS 创建的。如果将虚拟机的固件类型从旧版 BIOS 更改为 UEFI,则必须重新安装客户机操作系统。

仅当主机的 TPM 验证成功时,才能在虚拟机上激活 VBS。

要使用 Intel CPU 实现 VBS,需要使用 vSphere 6.7 或更高版本。必须已使用硬件版本 14 或更高版本和以下受支持的客户机操作系统之一创建了虚拟机:

  • Windows 10(64 位)或更高版本
  • Windows Server 2016(64 位)或更高版本

要使用 AMD CPU 实现 VBS,需要使用 vSphere 7.0 Update 2 或更高版本。必须已使用硬件版本 19 或更高版本和以下受支持的客户机操作系统之一创建了虚拟机:

  • Windows 10(64 位)版本 1809 或更高版本
  • Windows Server 2019(64 位)或更高版本

在启用 VBS 之前,请确保已安装 Windows 10 版本 1809 和 Windows Server 2019 的最新修补程序。

有关在 AMD 平台中的虚拟机上激活 VBS 的详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/89880

过程

  1. VMware Host Client 清单中单击虚拟机
  2. 在列表中右键单击某个虚拟机,然后从弹出菜单中选择编辑设置
  3. 虚拟机选项选项卡上,为虚拟机激活或停用 VBS。
    • 要为虚拟机激活 VBS,请选中启用基于虚拟化的安全性复选框。
    • 要为虚拟机停用 VBS,请取消选中启用基于虚拟化的安全性复选框。
    激活 VBS 后,多个选项会被自动选中并在向导中变灰。
  4. 单击保存以关闭向导。