El sistema operativo invitado que se ejecuta en la máquina virtual es vulnerable a los mismos riesgos de seguridad que cualquier sistema físico.
Para aumentar la seguridad del entorno virtual, puede agregar un módulo de plataforma de confianza (vTPM) virtual a los hosts ESXi. También puede habilitar la seguridad basada en virtualización (Virtualization-based Security, VBS) para las máquinas virtuales que se ejecutan en los sistemas operativos Windows 10 y Windows Server 2016 más recientes. Puede proporcionar seguridad adicional a las cargas de trabajo mediante instancias de Virtual Intel® Software Guard Extensions (vSGX) para máquinas virtuales.
Activar vSGX en una máquina virtual en VMware Host Client
Para evitar que el contenido de los enclaves se divulgue o se modifique, puede activar vSGX en una máquina virtual en VMware Host Client.
- Proteger máquinas virtuales con vSGX
- vSphere permite configurar vSGX para máquinas virtuales. Algunas CPU modernas de Intel implementan una extensión de seguridad llamada Intel ® Software Guard Extension (Intel ® SGX). Intel SGX permite código a nivel de usuario para definir regiones privadas de memoria, denominadas enclaves. Intel SGX protege el contenido de los enclaves contra divulgación o modificación de manera tal que el código que se ejecuta fuera de los enclaves no pueda acceder a ellos.
Algunas operaciones y características no son compatibles con SGX.
- Migrar con Storage vMotion
- Suspender o reanudar la máquina virtual
- Crear una instantánea de la máquina virtual
- Fault Tolerance
- Habilitar la integridad del invitado (GI, base de la plataforma para VMware AppDefense 1.0)
Requisitos previos
-
Apague la máquina virtual.
- Compruebe que la máquina virtual utilice firmware EFI.
- Compruebe que la versión del host ESXi sea 7.0 o posterior.
- Compruebe que el sistema operativo invitado de la máquina virtual sea Linux, Windows 10 (64 bits) o posterior, o Windows Server 2016 (64 bits) o posterior.
- Compruebe que posee el privilegio en la máquina virtual.
- Compruebe que el host ESXi esté instalado en una CPU compatible con SGX y que SGX esté habilitado en el BIOS del host ESXi. Para obtener información sobre las CPU admitidas, consulte https://kb.vmware.com/s/article/71367.
Procedimiento
Desactivar vSGX en una máquina virtual de VMware Host Client
Para desactivar vSGX en una máquina virtual, puede utilizar VMware Host Client.
Procedimiento
- En el inventario de VMware Host Client, haga clic en Máquinas virtuales.
- Haga clic con el botón derecho en la máquina virtual de la lista y seleccione Editar configuración en el menú emergente.
- En la pestaña Hardware virtual, expanda Dispositivos de seguridad.
- Desactive la casilla Habilitar y haga clic en Guardar.
Resultados
vSGX está desactivado en la máquina virtual.
Quitar un dispositivo vTPM de una máquina virtual en VMware Host Client
El módulo TPM es un chip especializado que almacena información confidencial específica del host, como claves privadas e información confidencial del sistema operativo. El chip de TPM también se utiliza para realizar tareas criptográficas y dar fe de la integridad de la plataforma. En VMware Host Client, solo se puede eliminar el dispositivo vTPM desde una máquina virtual.
El dispositivo TPM virtual es una emulación de software de la funcionalidad TPM. Puede agregar un dispositivo TPM virtual (vTPM) a las máquinas virtuales del entorno. La implementación de vTPM no requiere un chip TPM físico en el host. ESXi utiliza el dispositivo vTPM para ejecutar la funcionalidad TPM en el entorno de vSphere.
vTPM está disponible para máquinas virtuales con sistemas operativos Windows 10 y Windows Server 2016. La máquina virtual debe tener la versión de hardware 14 o una posterior.
Puede agregar un dispositivo TPM virtual a una máquina virtual solo en la instancia de vCenter Server. Para obtener más información, consulte la documentación sobre Seguridad de vSphere.
En VMware Host Client, solo puede eliminar el dispositivo TPM virtual desde una máquina virtual.
Requisitos previos
- La máquina virtual debe tener la versión de hardware 14 o una posterior.
- El SO invitado debe ser Windows 10 o Windows Server 2016 y versiones posteriores.
- La máquina virtual debe estar apagada.
Procedimiento
Active o desactive la seguridad basada en virtualización en una máquina virtual existente en VMware Host Client
La seguridad basada en virtualización (Virtualization-based Security, VBS) utiliza la tecnología de virtualización basada en Microsoft Hyper-V para aislar los servicios básicos del sistema operativo Windows en otro entorno virtualizado. Este tipo de aislamiento proporciona un nivel adicional de protección, ya que hace imposible la manipulación de los servicios clave del entorno.
Puede cambiar el nivel de seguridad de una máquina virtual habilitando o deshabilitando la seguridad basada en virtualización (Virtualization-Based Security, VBS) de Microsoft en máquinas virtuales existentes para sistemas operativos invitados Windows compatibles.
La activación de VBS en una máquina virtual activa automáticamente el hardware virtual que Windows necesita para la función VBS. Al habilitar VBS, se inicia una variante de Hyper-V en la máquina virtual y Windows comienza a ejecutarse dentro de la partición raíz de Hyper-V.
VBS está disponible en las versiones más recientes de sistema operativo Windows, por ejemplo, Windows 10 y Windows Server 2016. Para utilizar VBS en una máquina virtual, debe tener compatibilidad con ESXi 6.7 y versiones posteriores.
En VMware Host Client, puede activar VBS cuando crea una máquina virtual. Como alternativa, puede activar o desactivar VBS para una máquina virtual existente.
Requisitos previos
Activar VBS en una máquina virtual solo es posible si la validación de TPM del host se realiza correctamente.
El uso de las CPU Intel para VBS requiere vSphere 6.7 o una versión posterior. La máquina virtual debe ser una creada con hardware de versión 14 o posterior y uno de los siguientes sistemas operativos invitados compatibles:
- Windows 10 (64 bits) o versiones posteriores
- Windows Server 2016 (64 bits) o versiones posteriores
El uso de las CPU AMD para VBS requiere vSphere 7.0 Update 2 o una versión posterior. La máquina virtual debe ser una creada con hardware de versión 19 o posterior y uno de los siguientes sistemas operativos invitados compatibles:
- Windows 10 (64 bits), versión 1809 o versiones posteriores
- Windows Server 2019 (64 bits) o versiones posteriores
Antes de habilitar VBS, asegúrese de instalar las revisiones más recientes para Windows 10, versión 1809 y Windows Server 2019.
Para obtener más información sobre cómo activar VBS en máquinas virtuales en plataformas AMD, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/89880.