En vSphere 7.0 Update 1 y versiones posteriores, se puede habilitar el estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) en los sistemas operativos invitados y las CPU de AMD compatibles.
En este momento, SEV-ES solo es compatible con las CPU de AMD EPYC 7xx2 (código denominado "Roma") y las CPU posteriores, y solo con las versiones de kernels de Linux que incluyen soporte específico para SEV-ES.
Arquitectura y componentes de SEV-ES
La arquitectura del estado cifrado de SEV (Secure Encrypted Virtualization-Encrypted State, SEV-ES) consta de los siguientes componentes.
- La CPU de AMD, específicamente, el procesador de seguridad de plataforma (Platform Security Processor, PSP) que administra las claves de cifrado y controla el cifrado.
- El sistema operativo habilitado; es decir, un sistema operativo que utiliza llamadas iniciadas por el invitado al hipervisor.
- El monitor de máquina virtual (Virtual Machine Monitor, VMM) y el ejecutable de máquina virtual (Virtual Machine Executable, VMX) para inicializar un estado de una máquina virtual cifrada durante el encendido de la máquina virtual y, asimismo, controlar las llamadas desde el sistema operativo invitado.
- Controlador de VMkernel para comunicar datos no cifrados entre el hipervisor y el sistema operativo invitado.
Implementar y administrar SEV-ES en ESXi
Primero debe habilitar SEV-ES (el estado cifrado de Secure Encrypted Virtualization) en la configuración BIOS del sistema. Consulte la documentación del sistema para obtener más información sobre cómo acceder a la configuración de la BIOS. Después de habilitar SEV-ES en la BIOS del sistema, podrá agregar SEV-ES a una máquina virtual.
Podrá utilizar vSphere Client (a partir de vSphere 7.0 Update 2) o los comandos de PowerCLI para habilitar y deshabilitar SEV-ES en máquinas virtuales. Se pueden crear máquinas virtuales nuevas con SEV-ES o bien se puede habilitar SEV-ES en las máquinas virtuales existentes. Los privilegios para administrar máquinas virtuales habilitadas con SEV-ES son los mismos que para administrar máquinas virtuales normales.
Funciones de VMware no admitidas en SEV-ES
Las siguientes funciones no se admiten cuando SEV-ES está habilitado.
- Modo de administración del sistema
- vMotion
- Instantáneas encendidas (sin embargo, sí se admiten las instantáneas sin memoria)
- La adición o eliminación en caliente de CPU o memoria
- Suspensión o reanudación
- VMware Fault Tolerance
- Clones y clones instantáneos
- Integridad de invitado
- arranque seguro UEFI