Aktivieren des SGX-Remote-Nachweises auf ESXi-Hosts mit mehreren Sockets

Intel^® Software Guard Extensions (Intel^® SGX) ist eine hardwarebasierte Sicherheitslösung, mit der Sie bestimmten Anwendungscode und Daten in privaten Speicherbereichen, den sogenannten Enclaves, isolieren können. Registrieren Sie Ihre SGX-fähigen Hosts mit mehreren CPU-Sockets mithilfe von vSphere Client beim Intel-Registrierungsserver und verwenden Sie den Remote-Nachweis für Anwendungen, die auf Ihren vSGX-fähigen virtuellen Maschinen ausgeführt werden.

Ab vSphere 7.0 können Sie Virtual Intel^® Software Guard Extensions (vSGX) auf virtuellen Maschinen aktivieren und zusätzliche Sicherheit für Ihre Arbeitslasten bereitstellen. Weitere Informationen finden Sie in der Dokumentation zum Thema vSphere-Administratorhandbuch für virtuelle Maschinen unter Sichern von virtuellen Maschinen mit Intel Software Guard Extensions. Darüber hinaus können Sie den Remote-Nachweis für die vSGX-fähigen virtuellen Maschinen verwenden. Der Intel SGX-Remote-Nachweis ist ein Sicherheitsmechanismus, mit dem Sie einen authentifizierten und sicheren Kommunikationskanal mit einer vertrauenswürdigen Remote-Einheit einrichten können. Zum Verwenden des Remote-Nachweises für virtuelle Maschinen mit SGX-Enclaves ist für Hosts mit einem einzelnen CPU-Socket keine Intel-Registrierung erforderlich.

Ab vSphere 8.0 müssen Sie den Host erst beim Intel-Registrierungsserver registrieren, um den Remote-Nachweis auf einer virtuellen Maschine zu aktivieren, die auf einem Host mit mehreren CPU-Sockets ausgeführt wird. Wenn ein SGX-fähiger Host mit mehreren CPU-Sockets nicht beim Intel-Registrierungsserver registriert ist, können Sie nur vSGX-fähige virtuelle Maschinen einschalten, für die kein Remote-Nachweis erforderlich ist.

Wenn Sie einen Host mit SGX-fähigen CPUs hinzufügen, greift vCenter Server auf die vom BIOS bereitgestellten UEFI-Variablen (Unified Extensible Firmware Interface) zu und liest den aktuellen Registrierungsstatus des Hosts. Damit vCenter Server Informationen über den SGX-Status eines Hosts abrufen kann, müssen Sie den Firmware-Startmodus des Hosts auf den UEFI-Modus festlegen. Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Anzeigen des SGX-Registrierungsstatus Ihres ESXi-Hosts.

Sie können den aktuellen SGX-Registrierungsstatus des Hosts ändern, indem Sie die Registrierungsoptionen in vSphere Client verwenden oder den ESXi-Host nach Microcode-Updates neu starten und ein CPU-Paket hinzufügen oder ersetzen. Nach jedem Neustart des Hosts können Sie den aktualisierten Registrierungsstatus des Hosts mithilfe von vSphere Client anzeigen.

SGX-Registrierungsstatus eines Hosts

Sie können den aktuellen Status eines SGX-fähigen Hosts mithilfe von vSphere Client anzeigen und die erforderlichen Schritte ausführen, um die Hosts beim Intel-Registrierungsserver zu registrieren.

SGX-Registrierungsstatus	Beschreibung
Nicht anwendbar	SGX-fähige Hosts mit einem einzelnen CPU-Socket benötigen keine Registrierung beim Intel-Registrierungsserver, um den Remote-Nachweis zu aktivieren.
Unvollständig	Der Registrierungsstatus ist in einem der folgenden Anwendungsfälle unvollständig: Wenn Sie einen neuen Host zu einer vCenter Server-Instanz hinzufügen und der Host noch nicht registriert ist. Nach einem Host-Firmware-Update, das eine Intel SGX Trusted Computing Base (TCB)-Wiederherstellung durchführt. Wenn bei Hosts mit mehreren CPU-Paketen ein CPU-Paket hinzugefügt oder ersetzt wird, müssen Sie SGX beim BIOS-Setup manuell auf die Werksvoreinstellungen zurücksetzen. Anschließend muss der Host so registriert werden, als wäre er neu hinzugefügt worden. Wenn Sie SGX beim BIOS-Setup manuell auf die Werksvoreinstellungen zurücksetzen, müssen Sie den Host erneut registrieren.
Vollständig	Der Host wurde erfolgreich beim Intel-Registrierungsserver registriert.

SGX-Registrierungsstatus

Beschreibung

Nicht anwendbar

SGX-fähige Hosts mit einem einzelnen CPU-Socket benötigen keine Registrierung beim Intel-Registrierungsserver, um den Remote-Nachweis zu aktivieren.

Unvollständig

Der Registrierungsstatus ist in einem der folgenden Anwendungsfälle unvollständig:

Wenn Sie einen neuen Host zu einer vCenter Server-Instanz hinzufügen und der Host noch nicht registriert ist.
Nach einem Host-Firmware-Update, das eine Intel SGX Trusted Computing Base (TCB)-Wiederherstellung durchführt.
Wenn bei Hosts mit mehreren CPU-Paketen ein CPU-Paket hinzugefügt oder ersetzt wird, müssen Sie SGX beim BIOS-Setup manuell auf die Werksvoreinstellungen zurücksetzen. Anschließend muss der Host so registriert werden, als wäre er neu hinzugefügt worden.
Wenn Sie SGX beim BIOS-Setup manuell auf die Werksvoreinstellungen zurücksetzen, müssen Sie den Host erneut registrieren.

Vollständig

Der Host wurde erfolgreich beim Intel-Registrierungsserver registriert.

Vorgehensweise zum Anzeigen des SGX-Registrierungsstatus Ihres ESXi-Hosts

Sie können den aktuellen SGX-Registrierungsstatus eines ESXi-Hosts anzeigen, indem Sie den vSphere Client verwenden.

Voraussetzungen

Stellen Sie sicher, dass der Host auf einer Intel-CPU mit SGX-Funktionen installiert ist und SGX aktiviert ist.
Legen Sie den Firmware-Startmodus des Hosts auf UEFI fest.

Prozedur

Navigieren Sie im vSphere Client zu einem SGX-fähigen Host.
Navigieren Sie auf der Registerkarte Übersicht zur Karte Hardware.
Erweitern Sie den Knoten SGX, um den Wert der Eigenschaft „Registrierungsstatus“ anzuzeigen.

Weitere Informationen über die unterschiedlichen Registrierungsstatus finden Sie unter SGX-Registrierungsstatus eines Hosts.

Nächste Maßnahme

Um die Remote-Nachweisfunktion für vSGX-fähige virtuelle Maschinen zu verwenden, müssen Sie den Host beim Intel-Registrierungsserver registrieren, wenn die Hostregistrierung unvollständig ist und der Host über mehrere CPU-Sockets verfügt. Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Registrieren eines ESXi-Multi-Socket-Hosts beim Intel SGX-Registrierungsserver.

Vorgehensweise zum Registrieren eines ESXi-Multi-Socket-Hosts beim Intel SGX-Registrierungsserver

Um die SGX-Remotenachweisfunktion für einen Multi-Socket-Host zu verwenden, registrieren Sie den ESXi-Host mithilfe des vSphere Client beim Intel-Registrierungsserver.

Der Intel SGX-Nachweismechanismus stellt die Vertrauensstellung zwischen der vSGX-Enclave und einer externen Einheit sicher. Um diese Funktion auf einem Multi-Socket-Host mit aktivierten SGX-Funktionen zu verwenden, müssen Sie den Host beim Intel SGX-Registrierungsserver registrieren.

Voraussetzungen

Stellen Sie sicher, dass der Host auf einer Intel-CPU mit SGX-Funktionen installiert ist und SGX aktiviert ist.
Legen Sie den Firmware-Startmodus des Hosts auf UEFI fest.

Prozedur

Navigieren Sie auf der Startseite von vSphere Client zu Home > Hosts und Cluster.
Wählen Sie in der Bestandsliste einen SGX-fähigen Host aus und klicken Sie auf die Registerkarte Konfigurieren.
Wählen Sie unter „Hardware“ die Option SGX aus und klicken Sie auf Registrieren.

Ergebnisse

Nach erfolgreichem Abschluss des Registrierungsvorgangs ändert sich der Registrierungsstatus des Hosts zu „Abgeschlossen“.

Nächste Maßnahme

Aktivieren Sie den Remotenachweis für eine vSGX-fähige virtuelle Maschine. Weitere Informationen finden Sie in der Dokumentation zum Thema vSphere-Administratorhandbuch für virtuelle Maschinen unter Sichern von virtuellen Maschinen mit Intel Software Guard Extensions.