VMware hat die Virtualisierungsebene (bzw. VMkernel) für die Ausführung virtueller Maschinen entwickelt. Diese Ebene steuert die Hardware, die von den ESX-Hosts verwendet wird, und plant die Zuweisung von Hardwareressourcen an die einzelnen virtuellen Maschinen. Da VMkernel ausschließlich zur Unterstützung virtueller Maschinen verwendet wird, beschränkt sich die Schnittstelle zu VMkernel strikt auf die API, die zur Verwaltung der virtuellen Maschinen notwendig ist.

ESXi bietet durch folgende Funktionen zusätzlichen Schutz für VMkernel:

Memory Hardening

Der ESXi-Kernel, Anwendungen im Benutzermodus und ausführbare Komponenten, z. B. Treiber und Bibliotheken, befinden sich an zufällig zugeteilten, nicht vorhersehbaren Speicheradressen. In Kombination mit dem von Mikroprozessoren bereitgestellten Schutz für nicht ausführbaren Arbeitsspeicher bietet dies Schutz gegen bösartigen Code, dem es dadurch erschwert wird, Arbeitsspeicherexploits zu verwenden, um Schwachstellen auszunutzen.

Integrität des Kernelmoduls

Digitale Signaturen überprüfen die Integrität und Echtheit von Modulen, Treibern und Anwendungen, wenn sie vom VMkernel geladen werden. Das Signieren von Modulen hilft ESXi, die Anbieter von Modulen, Treibern oder Anwendungen zu identifizieren und festzustellen, ob sie für VMware zertifiziert sind. VMware-Software und bestimmte Treiber von Drittanbieter haben eine VMware-Signatur.

Trusted Platform Module (TPM)

vSphere verwendet Intel Trusted Platform Module/Trusted Execution Technology (TPM/TXT), um einen Remote-Nachweis des Hypervisor-Images basierend auf Hardware Root of Trust zu erhalten. Das Hypervisor-Image besteht aus folgenden Elementen:

  • ESXi-Software (Hypervisor) in VIB-Format (Paket)

  • VIBs von Drittanbietern

  • Treiber von Drittanbietern

Um diese Funktionen zu nutzen, müssen auf Ihrem ESXi-System TPM und TXT aktiviert sein.

Wenn TPM und TXT aktiviert sind, misst ESXi den kompletten Hypervisor-Stapel, wenn das System hochfährt, und speichert diese Messungen in den Plattformkonfigurations-Registern (Platform Configuration Register, PCR) des TPM. Die Messungen umfassen VMkernel, Kernelmodule, Treiber, native Verwaltungssoftware, die auf ESXi läuft, sowie Konfigurationsoptionen für den Neustart. Alle VIBs, die im System installiert sind, werden gemessen.

Drittanbieterlösungen können diese Funktion verwenden, um ein Prüfprogramm zu erstellen, das eine Manipulation des Hypervisor-Images erkennt, indem das Image mit einem Image der erwarteten korrekten Werte verglichen wird. vSphere stellt keine Benutzeroberfläche zur Anzeige dieser Messungen bereit.

Die Messungen werden in einer vSphere-API angeboten. Ein Ereignisprotokoll wird gemäß den Spezifikationen des Trusted Computing Group-Standards (TCG) für TXT als Teil der API bereitgestellt.