Das auf der virtuellen Maschine ausgeführte Gastbetriebssystem ist denselben Sicherheitsrisiken ausgesetzt wie ein physisches System.

Zur Verbesserung der Sicherheit in Ihrer virtuellen Umgebung können Sie ein virtuelles Trusted Platform Module (vTPM) zu Ihren ESXi-Hosts hinzufügen. Sie können auch virtualisierungsbasierte Sicherheit (VBS) für die virtuellen Maschinen aktivieren, auf denen die aktuellen Windows 10- und Windows Server 2016-Betriebssysteme ausgeführt werden. Sie können zusätzliche Sicherheit für Ihre Arbeitslasten bereitstellen, indem Sie Virtual Intel® Software Guard Extensions (vSGX) für virtuelle Maschinen verwenden.

Aktivieren von vSGX auf einer virtuellen Maschine im VMware Host Client

Um den Enclave-Inhalt vor Offenlegung und Änderungen zu schützen, können Sie vSGX auf einer virtuellen Maschine im VMware Host Client aktivieren.

Sichere virtuelle Maschinen mit vSGX
Mit vSphere können Sie vSGX für virtuelle Maschinen konfigurieren. Einige moderne Intel-CPUs implementieren eine Sicherheitserweiterung namens Intel ® Software Guard Extension (Intel ® SGX). Mit Intel SGX kann Code auf Benutzerebene private Arbeitsspeicherbereiche definieren, die als Enklaven bezeichnet werden. Intel SGX schützt die Enclave-Inhalte vor Offenlegung oder Änderung, sodass außerhalb der Enclave ausgeführter Code nicht auf die Inhalte zugreifen kann.
vSGX ermöglicht virtuellen Maschinen die Verwendung der Intel SGX-Technologie, sofern diese auf der Hardware verfügbar ist. Um vSGX zu verwenden, muss der ESXi-Host auf einer SGX-fähigen CPU installiert sein, und SGX muss im BIOS des ESXi-Hosts aktiviert sein. Sie können den vSphere Client verwenden, um SGX für eine virtuelle Maschine zu aktivieren. Weitere Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Einige Vorgänge und Funktionen sind nicht mit SGX kompatibel.

  • Migration mit Storage vMotion
  • Anhalten oder Fortsetzen der virtuellen Maschine
  • Erstellen eines Snapshots der virtuellen Maschine
  • Fault Tolerance
  • Aktivieren von Gastintegrität (GI, Plattform für VMware AppDefense 1.0).

Voraussetzungen

  • Schalten Sie die virtuelle Maschine aus.

  • Stellen Sie sicher, dass die virtuelle Maschine EFI-Firmware verwendet.
  • Stellen Sie sicher, dass der ESXi-Host Version 7.0 oder höher aufweist.
  • Stellen Sie sicher, dass es sich bei dem Gastbetriebssystem auf der virtuellen Maschine um Linux, Windows 10 (64 Bit) oder höher oder Windows Server 2016 (64 Bit) und höher handelt.
  • Vergewissern Sie sich, dass Sie über die Berechtigung Virtuelle Maschine.Konfiguration.Geräteeinstellungen ändern auf der virtuellen Maschine verfügen.
  • Stellen Sie sicher, dass der ESXi-Host auf einer SGX-fähigen CPU installiert ist und SGX im BIOS des ESXi-Hosts aktiviert ist. Informationen zu den unterstützten CPUs finden Sie unter https://kb.vmware.com/s/article/71367.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Virtuelle Maschinen.
  2. Klicken Sie mit der rechten Maustaste auf eine virtuelle Maschine in der Liste und wählen Sie Einstellungen bearbeiten im Dropdown-Menü aus.
  3. Erweitern Sie auf der Registerkarte Virtuelle Hardware die Option Sicherheitsgeräte.
  4. Aktivieren Sie das Kontrollkästchen Aktivieren.
  5. Geben Sie unter Cachegröße der Enclave-Seite einen neuen Wert in das Textfeld ein und wählen Sie im Dropdown-Menü die Größe in MB oder GB aus.
    Hinweis: Die Cachegröße der Enclave-Seite muss ein Vielfaches von 2 sein.
  6. Wählen Sie im Dropdown-Menü Steuerungskonfiguration starten den entsprechenden Modus aus.
    Option Aktion
    Gesperrt Aktiviert die Konfiguration für Start-Enclave.

    Geben Sie unter Public-Key-Hash für Start-Enclave einen gültigen SHA256-Hash ein.

    Der SHA256-Hashschlüssel muss 64 Zeichen enthalten.
    Entsperrt Aktiviert die Konfiguration für Start-Enclave des Gastbetriebssystems.
  7. Klicken Sie auf Speichern.

Deaktivieren von vSGX auf einer virtuellen Maschine im VMware Host Client

Zum Deaktivieren von vSGX auf einer virtuellen Maschine können Sie den VMware Host Client verwenden.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Virtuelle Maschinen.
  2. Klicken Sie mit der rechten Maustaste auf eine virtuelle Maschine in der Liste und wählen Sie Einstellungen bearbeiten im Dropdown-Menü aus.
  3. Erweitern Sie auf der Registerkarte Virtuelle Hardware die Option Sicherheitsgeräte.
  4. Deaktivieren Sie das Kontrollkästchen Aktivieren und klicken Sie auf Speichern.

Ergebnisse

vSGX ist auf der virtuellen Maschine deaktiviert.

Entfernen eines vTPM-Geräts von einer VM im VMware Host Client

Das Trusted Platform Module (TPM) ist ein spezieller Chip, auf dem hostspezifische vertrauliche Informationen gespeichert werden, wie z. B. private Schlüssel und Betriebssystemgeheimnisse. Der TPM-Chip wird auch verwendet, um kryptografische Aufgaben durchzuführen und die Integrität der Plattform zu bestätigen. In VMware Host Client können Sie das virtuelle vTPM-Gerät lediglich von einer virtuellen Maschine entfernen.

Das virtuelle TPM-Gerät stellt eine Softwareemulation der TPM-Funktion dar. Sie können den virtuellen Maschinen in Ihrer Umgebung ein virtuelles TPM-Gerät hinzufügen. Die vTPM-Implementierung benötigt keinen physischen TPM-Chip auf dem Host. ESXi verwendet das vTPM-Gerät, um die TPM-Funktionen in Ihrer vSphere-Umgebung anzuwenden.

vTPM steht für virtuelle Maschinen unter Windows 10 oder Windows Server 2016 zur Verfügung. Die virtuelle Maschine muss die Hardwareversion 14 oder höher aufweisen.

Sie können ein virtuelles TPM-Gerät nur in der vCenter Server-Instanz einer virtuellen Maschine hinzufügen. Weitere Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Im VMware Host Client können Sie das virtuelle TPM-Gerät ausschließlich aus einer virtuellen Maschine entfernen.

Voraussetzungen

  • Die virtuelle Maschine muss die Hardwareversion 14 oder höher aufweisen.
  • Auf dem Gastbetriebssystem muss Windows 10 oder Windows Server 2016 und höher installiert sein.
  • Die virtuelle Maschine muss ausgeschaltet sein.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Virtuelle Maschinen.
  2. Klicken Sie mit der rechten Maustaste auf eine virtuelle Maschine in der Liste und wählen Sie Einstellungen bearbeiten im Dropdown-Menü aus.
  3. Suchen Sie auf der Registerkarte Virtuelle Hardware nach dem TPM-Gerät und klicken Sie auf das Symbol Entfernen.
    Das virtuelle TPM-Gerät wird von der virtuellen Maschine entfernt.
  4. Klicken Sie auf Speichern, um den Assistenten zu schließen.

Aktivieren oder Deaktivieren von virtualisierungsbasierter Sicherheit für eine vorhandene VM im VMware Host Client

Virtualisierungsbasierte Sicherheit (VBS) verwendet die auf Microsoft Hyper-V basierende Virtualisierungstechnologie, um Kerndienste des Windows-Betriebssystems in einer separaten virtualisierten Umgebung zu isolieren. Diese Isolation bietet zusätzlichen Schutz, da sie verhindert, dass Schlüsseldienste in Ihrer Umgebung manipuliert werden.

Sie können die Sicherheitsstufe einer virtuellen Maschine ändern, indem Sie die virtualisierungsbasierte Sicherheit (VBS) von Microsoft auf vorhandenen virtuellen Maschinen für unterstützte Windows-Gastbetriebssysteme aktivieren oder deaktivieren.

Durch Aktivierung von VBS auf einer virtuellen Maschine wird automatisch auch die virtuelle Hardware aktiviert, die von Windows für die VBS-Funktion benötigt wird. Durch Aktivierung von VBS startet eine Variante von Hyper-V in der virtuellen Maschine und Windows wird innerhalb der Hyper-V-Root-Partition ausgeführt.

VBS steht in den aktuellen Versionen der Windows-Betriebssysteme zur Verfügung, z. B. Windows 10 und Windows Server 2016. Zur Verwendung von VBS auf einer virtuellen Maschine muss diese mit ESXi 6.7 und höher kompatibel sein.

Sie können VBS während der Erstellung einer virtuellen Maschine im VMware Host Client aktivieren. Alternativ können Sie VBS für eine vorhandene virtuelle Maschine aktivieren oder deaktivieren.

Voraussetzungen

Die Konfiguration von VBS ist ein Prozess, bei dem VBS zuerst in der virtuellen Maschine und anschließend im Gastbetriebssystem aktiviert wird.
Hinweis: Neue virtuelle Maschinen, die in niedrigeren Hardwareversionen als Version 14 für Windows 10, Windows Server 2016 und Windows Server 2019 konfiguriert werden, werden standardmäßig mit dem Legacy-BIOS erstellt. Wenn Sie den Firmwaretyp einer virtuellen Maschine von Legacy-BIOS in UEFI ändern, müssen Sie das Gastbetriebssystem neu installieren.

Sie können VBS nur dann auf einer virtuellen Maschine aktivieren, wenn die TPM-Validierung des Hosts erfolgreich ist.

Die Verwendung von Intel-CPUs für VBS erfordert vSphere 6.7 oder höher. Die virtuelle Maschine muss mit der Hardwareversion 14 oder höher und einem der folgenden unterstützten Gastbetriebssysteme erstellt worden sein:

  • Windows 10 (64 Bit) oder höhere Versionen
  • Windows Server 2016 (64 Bit) oder höhere Versionen

Die Verwendung von AMD-CPUs für VBS erfordert vSphere 7.0 Update 2 oder höher. Die virtuelle Maschine muss mit der Hardwareversion 19 oder höher und einem der folgenden unterstützten Gastbetriebssysteme erstellt worden sein:

  • Windows 10 (64 Bit), Version 1809 oder höhere Versionen
  • Windows Server 2019 (64 Bit) oder höhere Versionen

Stellen Sie sicher, dass Sie die neuesten Patches für Windows 10, Version 1809, und Windows Server 2019 installieren, bevor Sie VBS aktivieren.

Weitere Informationen zum Aktivieren von VBS auf virtuellen Maschinen auf AMD-Plattformen finden Sie im VMware KB-Artikel unter https://kb.vmware.com/s/article/89880.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Virtuelle Maschinen.
  2. Klicken Sie mit der rechten Maustaste auf eine virtuelle Maschine in der Liste und wählen Sie Einstellungen bearbeiten im Dropdown-Menü aus.
  3. Aktivieren bzw. deaktivieren Sie VBS für die virtuelle Maschine auf der Registerkarte VM-Optionen.
    • Wenn Sie VBS für die virtuelle Maschine aktivieren möchten, aktivieren Sie das Kontrollkästchen Virtualisierungsbasierte Sicherheit aktivieren.
    • Wenn Sie VBS für die virtuelle Maschine deaktivieren möchten, deaktivieren Sie das Kontrollkästchen Virtualisierungsbasierte Sicherheit aktivieren.
    Wenn Sie VBS aktivieren, werden verschiedene Optionen automatisch ausgewählt und im Assistenten abgeblendet angezeigt.
  4. Klicken Sie auf Speichern, um den Assistenten zu schließen.