El sistema operativo invitado que se ejecuta en la máquina virtual es vulnerable a los mismos riesgos de seguridad que cualquier sistema físico.

Para aumentar la seguridad del entorno virtual, puede agregar un módulo de plataforma de confianza (vTPM) virtual a los hosts ESXi. También puede habilitar la seguridad basada en virtualización (Virtualization-based Security, VBS) para las máquinas virtuales que se ejecutan en los sistemas operativos Windows 10 y Windows Server 2016 más recientes. Puede proporcionar seguridad adicional a las cargas de trabajo mediante instancias de Virtual Intel® Software Guard Extensions (vSGX) para máquinas virtuales.

Activar vSGX en una máquina virtual en VMware Host Client

Para evitar que el contenido de los enclaves se divulgue o se modifique, puede activar vSGX en una máquina virtual en VMware Host Client.

Proteger máquinas virtuales con vSGX
vSphere permite configurar vSGX para máquinas virtuales. Algunas CPU modernas de Intel implementan una extensión de seguridad llamada Intel ® Software Guard Extension (Intel ® SGX). Intel SGX permite código a nivel de usuario para definir regiones privadas de memoria, denominadas enclaves. Intel SGX protege el contenido de los enclaves contra divulgación o modificación de manera tal que el código que se ejecuta fuera de los enclaves no pueda acceder a ellos.
vSGX permite que las máquinas virtuales utilicen la tecnología Intel SGX si está disponibles en el hardware. Para usar vSGX, el host  ESXi debe estar instalado en una CPU compatible con SGX, y SGX debe estar habilitado en el BIOS del host  ESXi. Puede utilizar vSphere Client para habilitar SGX para una máquina virtual. Para obtener más información, consulte la documentación sobre Seguridad de vSphere.

Algunas operaciones y características no son compatibles con SGX.

  • Migrar con Storage vMotion
  • Suspender o reanudar la máquina virtual
  • Crear una instantánea de la máquina virtual
  • Fault Tolerance
  • Habilitar la integridad del invitado (GI, base de la plataforma para VMware AppDefense 1.0)

Requisitos previos

  • Apague la máquina virtual.

  • Compruebe que la máquina virtual utilice firmware EFI.
  • Compruebe que la versión del host ESXi sea 7.0 o posterior.
  • Compruebe que el sistema operativo invitado de la máquina virtual sea Linux, Windows 10 (64 bits) o posterior, o Windows Server 2016 (64 bits) o posterior.
  • Compruebe que posee el privilegio Máquina virtual.Configuración.Modificar configuración de dispositivos en la máquina virtual.
  • Compruebe que el host ESXi esté instalado en una CPU compatible con SGX y que SGX esté habilitado en el BIOS del host ESXi. Para obtener información sobre las CPU admitidas, consulte https://kb.vmware.com/s/article/71367.

Procedimiento

  1. En el inventario de VMware Host Client, haga clic en Máquinas virtuales.
  2. Haga clic con el botón derecho en la máquina virtual de la lista y seleccione Editar configuración en el menú emergente.
  3. En la pestaña Hardware virtual, expanda Dispositivos de seguridad.
  4. Active la casilla Habilitar.
  5. En Tamaño de memoria caché de página de enclave, introduzca un nuevo valor en el cuadro de texto y seleccione el tamaño en MB o GB en el menú desplegable.
    Nota: El tamaño de la memoria caché de la página de enclave debe ser un múltiplo de 2.
  6. En el menú desplegable Configuración de control de inicio, seleccione el modo adecuado.
    Opción Acción
    Bloqueado Activa la configuración de enclave de inicio.

    En Hash de clave pública de enclave de inicio, introduzca un hash SHA256 válido.

    La clave de hash SHA256 debe contener 64 caracteres.
    Desbloqueado Activa la configuración de enclave de inicio del sistema operativo invitado.
  7. Haga clic en Guardar.

Desactivar vSGX en una máquina virtual de VMware Host Client

Para desactivar vSGX en una máquina virtual, puede utilizar VMware Host Client.

Procedimiento

  1. En el inventario de VMware Host Client, haga clic en Máquinas virtuales.
  2. Haga clic con el botón derecho en la máquina virtual de la lista y seleccione Editar configuración en el menú emergente.
  3. En la pestaña Hardware virtual, expanda Dispositivos de seguridad.
  4. Desactive la casilla Habilitar y haga clic en Guardar.

Resultados

vSGX está desactivado en la máquina virtual.

Quitar un dispositivo vTPM de una máquina virtual en VMware Host Client

El módulo TPM es un chip especializado que almacena información confidencial específica del host, como claves privadas e información confidencial del sistema operativo. El chip de TPM también se utiliza para realizar tareas criptográficas y dar fe de la integridad de la plataforma. En VMware Host Client, solo se puede eliminar el dispositivo vTPM desde una máquina virtual.

El dispositivo TPM virtual es una emulación de software de la funcionalidad TPM. Puede agregar un dispositivo TPM virtual (vTPM) a las máquinas virtuales del entorno. La implementación de vTPM no requiere un chip TPM físico en el host. ESXi utiliza el dispositivo vTPM para ejecutar la funcionalidad TPM en el entorno de vSphere.

vTPM está disponible para máquinas virtuales con sistemas operativos Windows 10 y Windows Server 2016. La máquina virtual debe tener la versión de hardware 14 o una posterior.

Puede agregar un dispositivo TPM virtual a una máquina virtual solo en la instancia de vCenter Server. Para obtener más información, consulte la documentación sobre Seguridad de vSphere.

En VMware Host Client, solo puede eliminar el dispositivo TPM virtual desde una máquina virtual.

Requisitos previos

  • La máquina virtual debe tener la versión de hardware 14 o una posterior.
  • El SO invitado debe ser Windows 10 o Windows Server 2016 y versiones posteriores.
  • La máquina virtual debe estar apagada.

Procedimiento

  1. Haga clic en Máquinas virtuales en el inventario de VMware Host Client.
  2. Haga clic con el botón derecho en la máquina virtual de la lista y seleccione Editar configuración en el menú emergente.
  3. En la pestaña Hardware virtual, busque el dispositivo TPM y haga clic en el icono Quitar.
    El dispositivo TPM virtual se elimina de la máquina virtual.
  4. Haga clic en Guardar para cerrar el asistente.

Active o desactive la seguridad basada en virtualización en una máquina virtual existente en VMware Host Client

La seguridad basada en virtualización (Virtualization-based Security, VBS) utiliza la tecnología de virtualización basada en Microsoft Hyper-V para aislar los servicios básicos del sistema operativo Windows en otro entorno virtualizado. Este tipo de aislamiento proporciona un nivel adicional de protección, ya que hace imposible la manipulación de los servicios clave del entorno.

Puede cambiar el nivel de seguridad de una máquina virtual habilitando o deshabilitando la seguridad basada en virtualización (Virtualization-Based Security, VBS) de Microsoft en máquinas virtuales existentes para sistemas operativos invitados Windows compatibles.

La activación de VBS en una máquina virtual activa automáticamente el hardware virtual que Windows necesita para la función VBS. Al habilitar VBS, se inicia una variante de Hyper-V en la máquina virtual y Windows comienza a ejecutarse dentro de la partición raíz de Hyper-V.

VBS está disponible en las versiones más recientes de sistema operativo Windows, por ejemplo, Windows 10 y Windows Server 2016. Para utilizar VBS en una máquina virtual, debe tener compatibilidad con ESXi 6.7 y versiones posteriores.

En VMware Host Client, puede activar VBS cuando crea una máquina virtual. Como alternativa, puede activar o desactivar VBS para una máquina virtual existente.

Requisitos previos

La configuración de VBS es un proceso en el que primero se debe activar VBS en la máquina virtual y, posteriormente, en el sistema operativo invitado.
Nota: Las máquinas virtuales nuevas configuradas para Windows 10, Windows Server 2016 y Windows Server 2019 en versiones de hardware inferiores a la versión 14 se deben crear mediante BIOS heredado de forma predeterminada. Si cambia el tipo de firmware de una máquina virtual de BIOS heredado a UEFI, debe volver a instalar el sistema operativo invitado.

Activar VBS en una máquina virtual solo es posible si la validación de TPM del host se realiza correctamente.

El uso de las CPU Intel para VBS requiere vSphere 6.7 o una versión posterior. La máquina virtual debe ser una creada con hardware de versión 14 o posterior y uno de los siguientes sistemas operativos invitados compatibles:

  • Windows 10 (64 bits) o versiones posteriores
  • Windows Server 2016 (64 bits) o versiones posteriores

El uso de las CPU AMD para VBS requiere vSphere 7.0 Update 2 o una versión posterior. La máquina virtual debe ser una creada con hardware de versión 19 o posterior y uno de los siguientes sistemas operativos invitados compatibles:

  • Windows 10 (64 bits), versión 1809 o versiones posteriores
  • Windows Server 2019 (64 bits) o versiones posteriores

Antes de habilitar VBS, asegúrese de instalar las revisiones más recientes para Windows 10, versión 1809 y Windows Server 2019.

Para obtener más información sobre cómo activar VBS en máquinas virtuales en plataformas AMD, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/89880.

Procedimiento

  1. Haga clic en Máquinas virtuales en el inventario de VMware Host Client.
  2. Haga clic con el botón derecho en la máquina virtual de la lista y seleccione Editar configuración en el menú emergente.
  3. En la pestaña Opciones de máquina virtual, active o desactive VBS para la máquina virtual.
    • Para activar VBS para la máquina virtual, active la casilla Habilitar seguridad basada en virtualización.
    • Para desactivar VBS para la máquina virtual, desactive la casilla Habilitar seguridad basada en virtualización.
    Cuando se activa VBS, varias opciones se seleccionan automáticamente y se atenúan en el asistente.
  4. Haga clic en Guardar para cerrar el asistente.