La función Módulo de plataforma de confianza virtual (vTPM) permite agregar un procesador criptográfico virtual de TPM 2.0 a una máquina virtual.

Descripción general del módulo de plataforma de confianza virtual

Los módulos vTPM ejecutan las capacidades de coprocesador criptográfico en un software. Cuando se agrega un vTPM a una máquina virtual, permite que el sistema operativo invitado cree y almacene claves que son privadas. Estas claves no están expuestas al sistema operativo invitado en sí. Por lo tanto, se reduce la superficie de ataque de la máquina virtual. Por lo general, al poner en peligro el sistema operativo invitado, se compromete su información confidencial, pero la habilitación de un vTPM reduce este riesgo en gran medida. Estas claves solo las puede utilizar el sistema operativo invitado para fines de cifrado o firma. Con un vTPM asociado, un tercero puede dar fe (validar) remotamente de la identidad del firmware y del sistema operativo invitado.

Se puede agregar un vTPM a una máquina virtual nueva o a una existente. Un vTPM depende del cifrado de máquinas virtuales para proteger los datos esenciales del TPM. Cuando se configura un vTPM, el cifrado de máquinas virtuales cifra automáticamente los archivos de la máquina virtual, pero no los discos. Puede optar por agregar cifrado de forma explícita para la máquina virtual y sus discos.

También puede hacer una copia de seguridad de una máquina virtual habilitada con un vTPM. La copia de seguridad debe incluir todos los datos de la máquina virtual, incluido el archivo *.nvram. Si la copia de seguridad no incluye el archivo *.nvram, no se puede restaurar una máquina virtual con un vTPM. Asimismo, debido a que los archivos de inicio de una máquina virtual con un vTPM habilitado están cifrados, asegúrese de que las claves de cifrado estén disponibles en el momento de la restauración.

El vTPM no requiere un chip físico de TPM 2.0 presente en el host ESXi. No obstante, si desea realizar la atestación de host, es necesaria una entidad externa, como un chip físico de TPM 2.0. Para obtener más información, consulte la documentación de Seguridad de vSphere.

Nota: De manera predeterminada, no hay ninguna directiva de almacenamiento asociada a una máquina virtual habilitada con un vTPM. Solo están cifrados los archivos de máquina virtual (Inicio de la máquina virtual). Si lo prefiere, puede agregar cifrado de forma explícita para la máquina virtual y sus discos, pero los archivos de máquina virtual ya se habrán cifrado.

Requisitos para vTPM

Para utilizar un vTPM, el entorno de vSphere debe cumplir con estos requisitos:

  • Requisitos de la máquina virtual:
    • Firmware EFI.
    • Versión de hardware 14
  • Requisitos de los componentes:
    • vCenter Server 6.7.
    • Cifrado de máquinas virtuales (para cifrar los archivos de inicio de la máquina virtual).
    • Servidor de administración de claves (Key Management Server, KMS) configurado para vCenter Server (el cifrado de la máquina virtual depende de KMS). Para obtener más información, consulte la documentación de Seguridad de vSphere.
  • Compatibilidad con el sistema operativo invitado:
    • Windows Server 2016 (64 bits)
    • Windows 10 (64 bits)

Diferencias entre un TPM de hardware y un TPM virtual

Un módulo de plataforma de confianza (Trusted Platform Module, TPM) de hardware se usa como coprocesador criptográfico para proporcionar un almacenamiento de credenciales o claves seguro. Un vTPM realiza las mismas funciones que un TPM, pero lleva a cabo las capacidades de coprocesador cifrado en un software. El vTPM utiliza el archivo .nvram, que se cifra mediante el cifrado de máquinas virtuales, a modo de almacenamiento seguro.

El TPM de hardware incluye una clave precargada denominada “clave de aprobación” (Endorsement Key, EK). La EK está formada por una clave pública y una privada. La EK proporciona al TPM una identidad exclusiva. Esta clave se proporciona para un vTPM mediante VMware Certificate Authority (VMCA) o una entidad de certificación (Certificate Authority, CA) de terceros. Una vez que el vTPM utiliza una clave, por lo general, no se la cambia debido a que se invalidaría la información confidencial almacenada en el vTPM. El vTPM no se comunica con la CA en ningún momento.