Um den Enclave-Inhalt vor Offenlegung und Änderungen zu schützen, können Sie vSGX auf einer virtuellen Maschine auf dem VMware Host Client aktivieren.

Einige Vorgänge und Funktionen sind nicht mit SGX kompatibel.

  • Migration mit Storage vMotion
  • Anhalten oder Fortsetzen der virtuellen Maschine
  • Erstellen eines Snapshots der virtuellen Maschine
  • Fault Tolerance
  • Aktivieren von Gastintegrität (GI, Plattform für VMware AppDefense 1.0).

Voraussetzungen

  • Schalten Sie die virtuelle Maschine aus.

  • Stellen Sie sicher, dass die virtuelle Maschine EFI-Firmware verwendet.
  • Stellen Sie sicher, dass der ESXi-Host Version 7.0 oder höher aufweist.
  • Stellen Sie sicher, dass es sich bei dem Gastbetriebssystem auf der virtuellen Maschine um Linux, Windows 10 (64 Bit) oder höher oder Windows Server 2016 (64 Bit) und höher handelt.
  • Vergewissern Sie sich, dass Sie über die Berechtigung Virtuelle Maschine.Konfiguration.Geräteeinstellungen ändern auf der virtuellen Maschine verfügen.
  • Stellen Sie sicher, dass der ESXi-Host auf einer SGX-fähigen CPU installiert ist und SGX im BIOS des ESXi-Hosts aktiviert ist. Informationen zu den unterstützten CPUs finden Sie unter https://kb.vmware.com/s/article/71367.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Virtuelle Maschinen.
  2. Klicken Sie mit der rechten Maustaste auf eine virtuelle Maschine in der Liste und wählen Sie Einstellungen bearbeiten im Dropdown-Menü aus.
  3. Erweitern Sie auf der Registerkarte Virtuelle Hardware die Option Sicherheitsgeräte.
  4. Aktivieren Sie das Kontrollkästchen Aktivieren.
  5. Geben Sie unter Cachegröße der Enclave-Seite einen neuen Wert in das Textfeld ein und wählen Sie im Dropdown-Menü die Größe in MB oder GB aus.
    Hinweis: Die Cachegröße der Enclave-Seite muss ein Vielfaches von 2 sein.
  6. Wählen Sie im Dropdown-Menü Steuerungskonfiguration starten den entsprechenden Modus aus.
    Option Aktion
    Gesperrt Aktiviert die Konfiguration für Start-Enclave.

    Geben Sie unter Public-Key-Hash für Start-Enclave einen gültigen SHA256-Hash ein.

    Der SHA256-Hashschlüssel muss 64 Zeichen enthalten.
    Entsperrt Aktiviert die Konfiguration für Start-Enclave des Gastbetriebssystems.
  7. Klicken Sie auf Speichern.