Un módulo de plataforma de confianza virtual (virtual Trusted Platform Module, vTPM) es una representación basada en software de un chip de módulo de plataforma de confianza 2.0 físico. Un vTPM actúa como cualquier otro dispositivo virtual.

Introducción a los vTPM

Los vTPM proporcionan funciones basadas en hardware relacionadas con la seguridad, como la generación aleatoria de números, la atestación y la generación de claves, entre otras. Cuando se agrega un vTPM a una máquina virtual, permite que el sistema operativo invitado cree y almacene claves que son privadas. Estas claves no están expuestas al sistema operativo invitado en sí. Por lo tanto, se reduce la superficie de ataque de la máquina virtual. Por lo general, al poner en peligro el sistema operativo invitado, se compromete su información confidencial, pero la habilitación de un vTPM reduce este riesgo en gran medida. Estas claves solo las puede utilizar el sistema operativo invitado para fines de cifrado o firma. Con un vTPM asociado, un tercero puede dar fe (validar) remotamente de la identidad del firmware y del sistema operativo invitado.

Se puede agregar un vTPM a una máquina virtual nueva o existente. Un vTPM depende del cifrado de máquinas virtuales para proteger los datos esenciales del TPM. Al configurar un vTPM, se cifran los archivos de la máquina virtual, pero no los discos. Puede optar por agregar cifrado de forma explícita para la máquina virtual y sus discos.

Cuando se hace una copia de seguridad de una máquina virtual habilitada con un vTPM, la copia de seguridad debe incluir todos los datos de la máquina virtual, incluido el archivo *.nvram. Si la copia de seguridad no incluye el archivo *.nvram, no se puede restaurar una máquina virtual con un vTPM. Asimismo, debido a que los archivos de inicio de una máquina virtual con un vTPM habilitado están cifrados, asegúrese de que las claves de cifrado estén disponibles en el momento de la restauración.

El vTPM no requiere un chip físico de TPM 2.0 presente en el host ESXi. No obstante, si desea realizar la atestación de host, es necesaria una entidad externa, como un chip físico de TPM 2.0. Consulte Proteger hosts ESXi con el módulo de plataforma de confianza.

Nota: De manera predeterminada, no hay ninguna directiva de almacenamiento asociada a una máquina virtual habilitada con un vTPM. Solo están cifrados los archivos de máquina virtual (Inicio de la máquina virtual). Si lo prefiere, puede agregar cifrado de forma explícita para la máquina virtual y sus discos, pero los archivos de máquina virtual ya se habrán cifrado.

Requisitos para vTPM

Para utilizar un vTPM, el entorno de vSphere debe cumplir con estos requisitos:

  • Requisitos de la máquina virtual:
    • Firmware EFI.
    • Versión de hardware 14 o posterior
  • Requisitos de los componentes:
  • Compatibilidad con el sistema operativo invitado:
    • Windows Server 2008 y versiones posteriores
    • Windows 7 y versiones posteriores

Diferencias entre un TPM de hardware y un TPM virtual

Un módulo de plataforma de confianza (Trusted Platform Module, TPM) de hardware se usa para proporcionar un almacenamiento de credenciales o claves seguro. Un vTPM realiza las mismas funciones que un TPM, pero lleva a cabo las capacidades de coprocesador cifrado en un software. El vTPM utiliza el archivo .nvram, que se cifra mediante el cifrado de máquinas virtuales, a modo de almacenamiento seguro.

El TPM de hardware incluye una clave precargada denominada “clave de aprobación” (Endorsement Key, EK). La EK está formada por una clave pública y una privada. La EK proporciona al TPM una identidad exclusiva. Esta clave se proporciona para un vTPM mediante VMware Certificate Authority (VMCA) o una entidad de certificación (Certificate Authority, CA) de terceros. Una vez que el vTPM utiliza una clave, por lo general, no se la cambia debido a que se invalidaría la información confidencial almacenada en el vTPM. El vTPM no se comunica con la CA externa en ningún momento.