vTPMs bieten hardwarebasierte sicherheitsbezogene Funktionen wie zufallsbasierte Zahlengenerierung, Nachweise, Schlüsselgenerierung und vieles mehr. Wenn vTPM zu einer virtuellen Maschine hinzugefügt wird, kann damit das Gastbetriebssystem Schlüssel, die privat sind, aktivieren. Diese Schlüssel werden nicht für das Gastbetriebssystem selbst verfügbar gemacht. Aus diesem Grund sind die Angriffspunkte von virtuellen Maschinen reduziert. In der Regel wirkt sich eine Gefährdung des Gastbetriebssystems auch auf dessen Geheimnisse aus. Die Aktivierung eines vTPM verringert dieses Risiko jedoch deutlich. Diese Schlüssel können nur durch das Gastbetriebssystem für die Verschlüsselung oder Signierung verwendet werden. Mit einem angehängten vTPM kann ein Client die Identität der virtuellen Maschine remote bestätigen und die ausgeführte Software überprüfen.

Ein vTPM benötigt keinen physischen TPM 2.0-Chip (Trusted Platform Module) auf dem ESXi-Host. Wenn Sie jedoch einen Hostnachweis durchführen möchten, benötigen Sie eine externe Entität, z. B. einen physischen TPM 2.0-Chip. Weitere Informationen hierzu finden Sie unter Sichern von ESXi-Hosts mit Trusted Platform Module.

Vorgehensweise zum Konfigurieren eines vTPM für eine virtuelle Maschine

Aus Sicht der virtuellen Maschine ist ein vTPM ein virtuelles Gerät. Sie können ein vTPM zu einer neuen oder einer vorhandenen virtuellen Maschine hinzufügen. Ein vTPM hängt von der Verschlüsselung virtueller Maschinen ab, um wichtige TPM-Daten zu sichern. Daher müssen Sie einen Schlüsselanbieter konfigurieren. Wenn Sie ein vTPM konfigurieren, werden die Dateien der virtuellen Maschine verschlüsselt, die Festplatten hingegen nicht. Sie haben die Möglichkeit, Verschlüsselung für die virtuelle Maschine und die zugehörigen Festplatten explizit hinzuzufügen.

Wenn Sie eine mit einem vTPM aktivierte virtuelle Maschine sichern, muss die Sicherung alle Daten der virtuellen Maschine umfassen, einschließlich der Datei *.nvram. Wenn die Datei *.nvram nicht in der Sicherung enthalten ist, können Sie eine virtuelle Maschine nicht mit einem vTPM wiederherstellen. Da die VM-Home-Dateien einer vTPM-fähigen virtuellen Maschine verschlüsselt sind, stellen Sie darüber hinaus sicher, dass die Verschlüsselungsschlüssel zum Zeitpunkt der Wiederherstellung verfügbar sind.

Ab vSphere 8.0 wird beim Klonen einer virtuellen Maschine mit einem vTPM durch Auswahl der Option Ersetzen für eine virtuelle Maschine mit einem vTPM ein neues, leeres vTPM erstellt, das seine eigenen geheimen Schlüssel und seine eigene Identität erhält. Wenn Sie die geheimen Schlüssel eines vTPM ersetzen, werden alle Schlüssel, einschließlich arbeitslastbezogener Schlüssel, ersetzt. Stellen Sie als Best Practice sicher, dass Ihre Arbeitslasten kein vTPM mehr verwenden, bevor Sie die Schlüssel ersetzen. Andernfalls funktionieren die Arbeitslasten in der geklonten virtuellen Maschine möglicherweise nicht ordnungsgemäß.

vSphere-Anforderungen für vTPMs

Zur Verwendung eines vTPM muss die vSphere-Umgebung folgende Voraussetzungen erfüllen:

• Anforderungen an virtuelle Maschinen:
  • EFI-Firmware
  • Hardwareversion 14 und höher
• Anforderungen an Komponenten:
  • vCenter Server 6.7 und höher für virtuelle Windows-Maschinen verwenden vCenter Server 7.0 Update 2 und höher für virtuelle Linux-Maschinen.
  • VM-Verschlüsselung (zum Verschlüsseln der Home-Dateien der virtuellen Maschine).
  • Für vCenter Server konfigurierter Schlüsselanbieter. Weitere Informationen hierzu finden Sie unter Vergleich von vSphere-Schlüsselanbietern.
• Unterstützung folgender Gastbetriebssysteme:
  • Linux
  • Windows Server 2008 und höher
  • Windows 7 und höher

Unterschiede zwischen einem Hardware-TPM und einem virtuellem TPM

Sie verwenden ein Hardware-TPM (Trusted Platform Module), um sichere Speicherung von Anmeldeinformationen und Schlüsseln bereitzustellen. Ein vTPM führt dieselben Funktionen wie ein TPM durch, stellt aber kryptografische Koprozessorfunktionen in der Software bereit. Ein vTPM verwendet die .nvram-Datei, die mithilfe von VM-Verschlüsselung verschlüsselt wird, als sicheren Speicher.

Ein Hardware-TPM enthält einen vorab geladenen Schlüssel mit der Bezeichnung „Endorsement Key“ (EK). Der EK besitzt einen privaten und öffentlichen Schlüssel. Der EK stellt dem TPM eine eindeutige Identität bereit. Für ein vTPM wird dieser Schlüssel entweder von der VMware Certificate Authority (VMCA) oder einer Drittanbieterzertifizierungsstelle (CA, Certificate Authority) bereitgestellt. Sobald das vTPM einen Schlüssel verwendet, wird der Schlüssel in der Regel nicht geändert, da ansonsten vertrauliche im vTPM gespeicherte Informationen ungültig werden. Das vTPM wendet sich zu keiner Zeit an die Drittanbieter-Zertifizierungsstelle.