Un módulo de plataforma de confianza virtual (virtual Trusted Platform Module, vTPM) es una representación basada en software de un chip de módulo de plataforma de confianza 2.0 físico. Un vTPM actúa como cualquier otro dispositivo virtual.
Qué es un vTPM
Los vTPM proporcionan funciones basadas en hardware relacionadas con la seguridad, como la generación aleatoria de números, la atestación y la generación de claves, entre otras. Cuando se agrega un vTPM a una máquina virtual, permite que el sistema operativo invitado cree y almacene claves que son privadas. Estas claves no están expuestas al sistema operativo invitado en sí. Por lo tanto, se reduce la superficie de ataque de la máquina virtual. Por lo general, al poner en peligro el sistema operativo invitado, se compromete su información confidencial, pero la habilitación de un vTPM reduce este riesgo en gran medida. Estas claves solo las puede utilizar el sistema operativo invitado para fines de cifrado o firma. Con un vTPM asociado, un cliente puede atestar de forma remota la identidad de la máquina virtual y comprobar el software que está en ejecución.
Se puede agregar un vTPM a una máquina virtual nueva o existente. Un vTPM depende del cifrado de máquinas virtuales para proteger los datos esenciales del TPM. Al configurar un vTPM, se cifran los archivos de la máquina virtual, pero no los discos. Puede optar por agregar cifrado de forma explícita para la máquina virtual y sus discos.
Cuando se hace una copia de seguridad de una máquina virtual habilitada con un vTPM, la copia de seguridad debe incluir todos los datos de la máquina virtual, incluido el archivo *.nvram. Si la copia de seguridad no incluye el archivo *.nvram, no se puede restaurar una máquina virtual con un vTPM. Asimismo, debido a que los archivos de inicio de una máquina virtual con un vTPM habilitado están cifrados, asegúrese de que las claves de cifrado estén disponibles en el momento de la restauración.
El vTPM no requiere un chip físico de TPM 2.0 presente en el host ESXi. No obstante, si desea realizar la atestación de host, es necesaria una entidad externa, como un chip físico de TPM 2.0. Consulte Proteger hosts ESXi con el módulo de plataforma de confianza.
Requisitos de vSphere para vTPMs
Para utilizar un vTPM, el entorno de vSphere debe cumplir con estos requisitos:
- Requisitos de la máquina virtual:
- Firmware EFI.
- Versión de hardware 14 y posterior
- Requisitos de los componentes:
- vCenter Server 6.7 y versiones posteriores para máquinas virtuales Windows, vCenter Server 7.0 Update 2 y versiones posteriores para máquinas virtuales Linux.
- Cifrado de máquinas virtuales (para cifrar los archivos de inicio de la máquina virtual).
- Proveedor de claves configurado para vCenter Server. Consulte Comparación de proveedores de claves de vSphere.
- Compatibilidad con el sistema operativo invitado:
- Linux
- Windows Server 2008 y versiones posteriores
- Windows 7 y versiones posteriores
Diferencias entre un TPM de hardware y un TPM virtual
Un módulo de plataforma de confianza (Trusted Platform Module, TPM) de hardware se usa para proporcionar un almacenamiento de credenciales o claves seguro. Un vTPM realiza las mismas funciones que un TPM, pero lleva a cabo las capacidades de coprocesador cifrado en un software. El vTPM utiliza el archivo .nvram, que se cifra mediante el cifrado de máquinas virtuales, a modo de almacenamiento seguro.
El TPM de hardware incluye una clave precargada denominada “clave de aprobación” (Endorsement Key, EK). La EK está formada por una clave pública y una privada. La EK proporciona al TPM una identidad exclusiva. Esta clave se proporciona para un vTPM mediante VMware Certificate Authority (VMCA) o una entidad de certificación (Certificate Authority, CA) de terceros. Una vez que el vTPM utiliza una clave, por lo general, no se la cambia debido a que se invalidaría la información confidencial almacenada en el vTPM. El vTPM no se comunica con la CA externa en ningún momento.