Ein vTPM (Virtual Trusted Platform Module) ist eine softwarebasierte Darstellung eines physischen Trusted Platform Module 2.0-Chips. Ein vTPM verhält sich wie jedes andere virtuelle Gerät.
Was ist ein vTPM?
vTPMs bieten hardwarebasierte sicherheitsbezogene Funktionen wie zufallsbasierte Zahlengenerierung, Nachweise, Schlüsselgenerierung und vieles mehr. Wenn vTPM zu einer virtuellen Maschine hinzugefügt wird, kann damit das Gastbetriebssystem Schlüssel, die privat sind, aktivieren. Diese Schlüssel werden nicht für das Gastbetriebssystem selbst verfügbar gemacht. Aus diesem Grund sind die Angriffspunkte von virtuellen Maschinen reduziert. In der Regel wirkt sich eine Gefährdung des Gastbetriebssystems auch auf dessen Geheimnisse aus. Die Aktivierung eines vTPM verringert dieses Risiko jedoch deutlich. Diese Schlüssel können nur durch das Gastbetriebssystem für die Verschlüsselung oder Signierung verwendet werden. Mit einem angehängten vTPM kann ein Client die Identität der virtuellen Maschine remote bestätigen und die ausgeführte Software überprüfen.
Sie können ein vTPM zu einer neuen oder einer vorhandenen virtuellen Maschine hinzufügen. Ein vTPM benötigt VM-Verschlüsselung, um wichtige TPM-Daten zu schützen. Wenn Sie ein vTPM konfigurieren, werden die Dateien der virtuellen Maschine verschlüsselt, die Festplatten hingegen nicht. Sie haben die Möglichkeit, Verschlüsselung für die virtuelle Maschine und die zugehörigen Festplatten explizit hinzuzufügen.
Wenn Sie eine mit einem vTPM aktivierte virtuelle Maschine sichern, muss die Sicherung alle Daten der virtuellen Maschine umfassen, einschließlich der Datei *.nvram. Wenn die Datei *.nvram nicht in der Sicherung enthalten ist, können Sie eine virtuelle Maschine nicht mit einem vTPM wiederherstellen. Da die VM-Home-Dateien einer vTPM-fähigen virtuellen Maschine verschlüsselt sind, stellen Sie darüber hinaus sicher, dass die Verschlüsselungsschlüssel zum Zeitpunkt der Wiederherstellung verfügbar sind.
Ein vTPM benötigt keinen physischen TPM 2.0-Chip (Trusted Platform Module) auf dem ESXi-Host. Wenn Sie jedoch einen Hostnachweis durchführen möchten, benötigen Sie eine externe Entität, z. B. einen physischen TPM 2.0-Chip. Weitere Informationen hierzu finden Sie unter Sichern von ESXi-Hosts mit Trusted Platform Module.
vSphere-Anforderungen für vTPMs
Zur Verwendung eines vTPM muss die vSphere-Umgebung folgende Voraussetzungen erfüllen:
- Anforderungen an virtuelle Maschinen:
- EFI-Firmware
- Hardwareversion 14 und höher
- Anforderungen an Komponenten:
- vCenter Server 6.7 und höher für virtuelle Windows-Maschinen verwenden vCenter Server 7.0 Update 2 und höher für virtuelle Linux-Maschinen.
- VM-Verschlüsselung (zum Verschlüsseln der Home-Dateien der virtuellen Maschine).
- Für vCenter Server konfigurierter Schlüsselanbieter. Weitere Informationen hierzu finden Sie unter Vergleich von vSphere-Schlüsselanbietern.
- Unterstützung folgender Gastbetriebssysteme:
- Linux
- Windows Server 2008 und höher
- Windows 7 und höher
Unterschiede zwischen einem Hardware-TPM und einem virtuellen TPM
Sie verwenden ein Hardware-TPM (Trusted Platform Module), um sichere Speicherung von Anmeldeinformationen und Schlüsseln bereitzustellen. Ein vTPM führt dieselben Funktionen wie ein TPM durch, stellt aber kryptografische Koprozessorfunktionen in der Software bereit. Ein vTPM verwendet die .nvram-Datei, die mithilfe von VM-Verschlüsselung verschlüsselt wird, als sicheren Speicher.
Ein Hardware-TPM enthält einen vorab geladenen Schlüssel mit der Bezeichnung „Endorsement Key“ (EK). Der EK besitzt einen privaten und öffentlichen Schlüssel. Der EK stellt dem TPM eine eindeutige Identität bereit. Für ein vTPM wird dieser Schlüssel entweder von der VMware Certificate Authority (VMCA) oder einer Drittanbieterzertifizierungsstelle (CA, Certificate Authority) bereitgestellt. Sobald das vTPM einen Schlüssel verwendet, wird der Schlüssel in der Regel nicht geändert, da ansonsten vertrauliche im vTPM gespeicherte Informationen ungültig werden. Das vTPM wendet sich zu keiner Zeit an die Drittanbieter-Zertifizierungsstelle.