Mithilfe von vSphere können Sie Virtual Intel® Software Guard Extensions (vSGX) für virtuelle Maschinen konfigurieren. Indem Sie vSGX verwenden, können Sie zusätzliche Sicherheit für Ihre Arbeitslasten bereitstellen.

Einige moderne Intel-CPUs implementieren eine Sicherheitserweiterung namens Intel® Software Guard Extensions (Intel® SGX). Intel SGX ist eine prozessorspezifische Technologie für Anwendungsentwickler, die den ausgewählten Code und die ausgewählten Daten vor Offenlegung oder Änderung schützen möchten. Mit Intel SGX kann Code auf Benutzerebene private Arbeitsspeicherbereiche definieren, die als Enklaven bezeichnet werden. Der Inhalt der Enklave wird so geschützt, dass außerhalb der Enklave ausgeführter Code nicht auf den Inhalt der Enklave zugreifen kann.

vSGX ermöglicht virtuellen Maschinen die Verwendung der Intel SGX-Technologie, sofern diese auf der Hardware verfügbar ist. Um vSGX zu verwenden, muss der ESXi-Host auf einer SGX-fähigen CPU installiert sein, und SGX muss im BIOS des ESXi-Hosts aktiviert sein. Sie können den vSphere Client verwenden, um SGX für eine virtuelle Maschine zu aktivieren.

Ab vSphere 8.0 können Sie den Remote-Nachweis für eine vSGX-fähige virtuelle Maschine verwenden. Der Intel SGX-Remote-Nachweis ist ein Sicherheitsmechanismus, mit dem Sie einen authentifizierten und sicheren Kommunikationskanal mit einer vertrauenswürdigen Remote-Einheit einrichten können. Zum Verwenden von Remote-Nachweis für virtuelle Maschinen mit SGX-Enclaven ist für Hosts mit einem einzelnen CPU-Socket keine Intel-Registrierung erforderlich. Um den Remote-Nachweis auf einer virtuellen Maschine zu aktivieren, die auf einem Host mit mehreren CPU-Sockets ausgeführt wird, müssen Sie den Host zuerst beim Intel-Registrierungsserver registrieren. Wenn ein SGX-fähiger Host mit mehreren CPU-Sockets nicht beim Intel-Registrierungsserver registriert ist, können Sie nur vSGX-fähige virtuelle Maschinen einschalten, für die kein Remote-Nachweis erforderlich ist.

Weitere Informationen zum Registrieren eines Multi-Socket-ESXi-Hosts beim Intel-Registrierungsserver finden Sie in der vCenter Server und Hostverwaltung-Dokumentation.

Erste Schritte mit vSGX

Virtuelle Maschinen können die Intel SGX-Technologie verwenden, sofern diese auf der Hardware verfügbar ist.

vSphere-Voraussetzungen für vSGX

Zur Verwendung von vSGX muss die vSphere-Umgebung folgende Voraussetzungen erfüllen:

  • Anforderungen an virtuelle Maschinen:
    • EFI-Firmware
    • Ab Hardwareversion 17
    • Um den Remote-Nachweis zu aktivieren, verwenden Sie die Hardwareversion 20 oder höher
  • Anforderungen an Komponenten:
    • vCenter Server 7.0 und höher
    • ESXi 7.0 und höher
    • Der ESXi-Host muss auf einer SGX-fähigen CPU installiert und SGX muss im BIOS des ESXi-Hosts aktiviert sein.
    • Um den Remote-Nachweis für den Host zu aktivieren, registrieren Sie den Host beim Intel-Registrierungsserver. Auf diese Weise kann die auf dem Host ausgeführte virtuelle Maschine den Remote-Nachweis verwenden. Weitere Informationen über die Registrierung eines Multi-Socket-ESXi finden Sie in der vCenter Server und Hostverwaltung-Dokumentation.
  • Unterstützung folgender Gastbetriebssysteme:
    • Linux
    • Windows Server 2016 (64 Bit) und höher
    • Windows 10 (64 Bit) und höher

Unterstützte Intel-Hardware für vSGX

Informationen zur unterstützten Intel-Hardware für vSGX finden Sie im vSphere-Kompatibilitätshandbuch unter https://www.vmware.com/resources/compatibility/search.php.

Möglicherweise müssen Sie Hyper-Threading auf bestimmten CPUs ausschalten, um SGX auf dem ESXi-Host zu aktivieren. Weitere Informationen finden Sie im VMware Knowledge Base-Artikel unter https://kb.vmware.com/s/article/71367.

Nicht unterstützte VMware-Funktionen auf vSGX

Die folgenden Funktionen auf einer virtuellen Maschine werden nicht unterstützt, wenn vSGX aktiviert ist:

  • vMotion/DRS-Migration
  • Anhalten und Fortsetzen einer virtuellen Maschine
  • VM-Snapshots (VM-Snapshots werden unterstützt, wenn Sie keinen Snapshot für den Arbeitsspeicher der virtuellen Maschine erstellen.)
  • Fault Tolerance
  • Gastintegrität (GI, Plattformgrundlage für VMware AppDefense™ 1.0)
Hinweis:

Diese VMware-Funktionen werden aufgrund der Funktionsweise der Intel SGX-Architektur nicht unterstützt. Diese fehlende Unterstützung ist nicht auf Mängel bei VMware zurückzuführen.

Aktivieren von vSGX auf einer virtuellen Maschine

Sie können vSGX auf einer virtuellen Maschine aktivieren, während Sie eine virtuelle Maschine erstellen.

Voraussetzungen

Weitere Informationen finden Sie unter vSphere-Voraussetzungen für vSGX.

Prozedur

  1. Stellen Sie mit dem vSphere Client eine Verbindung zu vCenter Server her.
  2. Wählen Sie in der Bestandsliste ein Objekt aus, das ein gültiges übergeordnetes Objekt einer virtuellen Maschine ist, beispielsweise einen ESXi-Host oder einen Cluster.
  3. Klicken Sie mit der rechten Maustaste auf das Objekt, wählen Sie Neue virtuelle Maschine aus und befolgen Sie die Anweisungen zum Erstellen einer virtuellen Maschine.
  4. Klicken Sie auf der Seite Hardware anpassen auf die Registerkarte Virtuelle Hardware und erweitern Sie Sicherheitsgeräte.
  5. Markieren Sie zum Aktivieren von SGX das Kontrollkästchen Aktivieren.
  6. Geben Sie im Textfeld Cachegröße der Enclave-Seite (MB) die Cachegröße in MB ein.
    Hinweis: Die Cachegröße der Enclave-Seite muss ein Vielfaches von 2 MB sein.
  7. Um zu verhindern, dass die virtuelle Maschine Hosts einschaltet, die den SGX-Remote-Nachweis nicht unterstützen, z. B. nicht registrierte SGX-Hosts mit mehreren Sockets, aktivieren Sie das Kontrollkästchen Remote-Nachweis.
  8. Wählen Sie im Dropdown-Menü Steuerungskonfiguration starten den entsprechenden Modus aus.
    Option Aktion
    Entsperrt Diese Option aktiviert die Enclave-Startkonfiguration des Gastbetriebssystems.
    Gesperrt Mit dieser Option können Sie die Start-Enclave konfigurieren.
    1. Wählen Sie die Option Öffentlicher Schlüssel-Hash der Start-Enclave aus.
    2. Zur Verwendung eines der auf dem Host konfigurierten öffentlichen Schlüssel wählen Sie Von Host verwenden aus. Wählen Sie anschließend im Dropdown-Menü einen öffentlichen Schlüssel-Hash aus.
    3. Zur manuellen Eingabe des öffentlichen Schlüssels wählen Sie Manuell eingeben aus und geben einen gültigen SHA256-Hash-Schlüssel (64 Zeichen) ein.
  9. Klicken Sie auf OK.

Aktivieren von vSGX auf einer vorhandenen virtuellen Maschine

Sie können vSGX auf einer vorhandenen virtuellen Maschine aktivieren.

Voraussetzungen

Weitere Informationen finden Sie unter vSphere-Voraussetzungen für vSGX.

Prozedur

  1. Stellen Sie mit dem vSphere Client eine Verbindung zu vCenter Server her.
  2. Klicken Sie mit der rechten Maustaste auf die zu ändernde virtuelle Maschine in der Bestandsliste und wählen Sie Einstellungen bearbeiten aus.
  3. Erweitern Sie auf der Registerkarte Virtuelle Hardware die Option Sicherheitsgeräte.
  4. Markieren Sie zum Aktivieren von SGX das Kontrollkästchen Aktivieren.
  5. Geben Sie im Textfeld Cachegröße der Enclave-Seite (MB) die Cachegröße in MB ein.
    Hinweis: Die Cachegröße der Enclave-Seite muss ein Vielfaches von 2 MB sein.
  6. Um zu verhindern, dass die virtuelle Maschine Hosts einschaltet, die den SGX-Remote-Nachweis nicht unterstützen, z. B. nicht registrierte SGX-Hosts mit mehreren Sockets, aktivieren Sie das Kontrollkästchen Remote-Nachweis.
  7. Wählen Sie im Dropdown-Menü Steuerungskonfiguration starten den entsprechenden Modus aus.
    Option Aktion
    Entsperrt Diese Option aktiviert die Enclave-Startkonfiguration des Gastbetriebssystems.
    Gesperrt Mit dieser Option können Sie die Start-Enclave konfigurieren.
    1. Wählen Sie die Option Öffentlicher Schlüssel-Hash der Start-Enclave aus.
    2. Zur Verwendung eines der auf dem Host konfigurierten öffentlichen Schlüssel wählen Sie Von Host verwenden aus. Wählen Sie anschließend im Dropdown-Menü einen öffentlichen Schlüssel-Hash aus.
    3. Zur manuellen Eingabe des öffentlichen Schlüssels wählen Sie Manuell eingeben aus und geben einen gültigen SHA256-Hash-Schlüssel (64 Zeichen) ein.
  8. Klicken Sie auf OK.

Entfernen von vSGX von einer virtuellen Maschine

Sie können vSGX von einer virtuellen Maschine entfernen.

Prozedur

  1. Stellen Sie mit dem vSphere Client eine Verbindung zu vCenter Server her.
  2. Klicken Sie mit der rechten Maustaste auf die zu ändernde virtuelle Maschine in der Bestandsliste und wählen Sie Einstellungen bearbeiten aus.
  3. Deaktivieren Sie im Dialogfeld Einstellungen bearbeiten unter Sicherheitsgeräte das Kontrollkästchen Aktivieren für SGX.
  4. Klicken Sie auf OK.
    Stellen Sie sicher, dass der vSGX-Eintrag nicht mehr auf der Registerkarte Übersicht der virtuellen Maschine im Bereich VM-Hardware angezeigt wird.