vSphere permite configurar varias instancias de Virtual Intel® Software Guard Extension (vSGX) para máquinas virtuales. Con vSGX, puede proporcionar seguridad adicional a las cargas de trabajo.

Algunas CPU modernas de Intel implementan una extensión de seguridad llamada Intel® Software Guard Extensions (Intel® SGX). Intel SGX es una tecnología específica del procesador para desarrolladores de aplicaciones que buscan proteger determinados códigos y datos evitar para evitar su divulgación o modificación. Intel SGX permite código a nivel de usuario para definir regiones privadas de memoria, denominadas enclaves. El contenido de los enclaves está protegido de manera tal que el código que se ejecuta fuera de enclave no puede acceder al contenido del enclave.

vSGX permite que las máquinas virtuales utilicen la tecnología Intel SGX si está disponibles en el hardware. Para usar vSGX, el host ESXi debe estar instalado en una CPU compatible con SGX, y SGX debe estar habilitado en el BIOS del host ESXi. Puede utilizar vSphere Client para habilitar SGX para una máquina virtual.

A partir de vSphere 8.0, puede utilizar la atestación remota para una máquina virtual habilitada para vSGX. La atestación remota Intel SGX es un mecanismo de seguridad que permite establecer un canal de comunicación autenticado y seguro con una entidad remota de confianza. Para utilizar la atestación remota para máquinas virtuales que usan enclaves de SGX, los hosts con un solo socket de CPU no requieren registro en Intel. Para habilitar la atestación remota en una máquina virtual que se ejecuta en un host con varios sockets de CPU, primero debe registrar el host con el servidor de registro de Intel. Si un host compatible con SGX con varios sockets de CPU no está registrado en el servidor de registro de Intel, solo podrá encender máquinas virtuales habilitadas para vSGX que no requieran atestación remota.

Consulte la documentación de Administrar vCenter Server y hosts para obtener más información sobre el registro de un host ESXi de varios sockets en el servidor de registro de Intel.

Introducción a vSGX

Las máquinas virtuales pueden usar la tecnología Intel SGX, si está disponible en el hardware.

Requisitos de vSphere para vSGX

Para utilizar vSGX, el entorno de vSphere debe cumplir con estos requisitos:

  • Requisitos de la máquina virtual:
    • Firmware EFI.
    • Versión de hardware 17 o posterior
    • Para habilitar la atestación remota, la versión 20 o posterior de hardware
  • Requisitos de los componentes:
    • vCenter Server 7.0 y versiones posteriores
    • ESXi 7.0 y versiones posteriores
    • El host ESXi debe estar instalado en una CPU compatible con SGX y SGX debe estar habilitado en el BIOS del host ESXi.
    • Para habilitar la atestación remota para el host, registre el host con el servidor de registro de Intel. De esta manera, la máquina virtual que se ejecuta en el host puede utilizar la atestación remota. Para obtener más información sobre cómo registrar un ESXi de varios sockets, consulte la documentación de Administrar vCenter Server y hosts.
  • Compatibilidad con el sistema operativo invitado:
    • Linux
    • Windows Server 2016 (64 bits) y versiones posteriores
    • Windows 10 (64 bits) y versiones posteriores

Hardware Intel compatible con vSGX

Para obtener información sobre el hardware Intel compatible con vSGX, consulte la Guía de compatibilidad de vSphere en https://www.vmware.com/resources/compatibility/search.php.

Es posible que deba desactivar el hiperproceso en ciertas CPU para habilitar SGX en el host ESXi. Para obtener más información, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/71367.

Funciones de VMware no admitidas en vSGX

Las siguientes funciones no se admiten en una máquina virtual cuando se habilita vSGX:

  • Migración de vMotion/DRS
  • Suspensión y reanudación de la máquina virtual
  • Instantáneas de máquina virtual (estas instantáneas son compatibles si no se realiza una instantánea de la memoria de la máquina virtual).
  • Tolerancia a errores
  • Integridad del invitado (GI, base de la plataforma para VMware AppDefense™ 1.0)
Nota:

Estas funciones de VMware no se admiten debido al modo en que funciona la arquitectura de Intel SGX. No son resultado de un defecto de VMware.

Habilitar vSGX en una máquina virtual

Puede habilitar vSGX en una máquina virtual al mismo tiempo que crea una máquina virtual.

Requisitos previos

Consulte Requisitos de vSphere para vSGX.

Procedimiento

  1. Conéctese a vCenter Server mediante vSphere Client.
  2. Seleccione un objeto del inventario que sea un objeto primario válido de una máquina virtual, por ejemplo, un host o clúster ESXi.
  3. Haga clic con el botón derecho en el objeto, seleccione Nueva máquina virtual y siga las indicaciones para crear una máquina virtual.
  4. En la página Personalizar hardware, haga clic en la pestaña Hardware virtual y expanda Dispositivos de seguridad.
  5. Para habilitar SGX, active la casilla Habilitar.
  6. En el cuadro de texto Tamaño de memoria caché de página de enclave (MB), introduzca el tamaño de la caché en MB.
    Nota: El tamaño de la memoria caché de la página enclave debe ser un múltiplo de 2 MB.
  7. Para evitar que la máquina virtual encienda hosts que no admiten la atestación remota de SGX, como hosts SGX de varios sockets no registrados, active la casilla de verificación Atestación remota.
  8. En el menú desplegable Configuración de control de inicio, seleccione el modo adecuado.
    Opción Acción
    Desbloqueado Esta opción habilita la configuración de enclave de inicio del sistema operativo invitado.
    Bloqueado Esta opción permite configurar el enclave de inicio.
    1. Seleccione la opción Hash de clave pública de enclave de inicio.
    2. Para utilizar una de las claves públicas configuradas en el host, seleccione Utilizar a partir del host y, en el menú desplegable, seleccione un hash de clave pública.
    3. Para introducir la clave pública manualmente, seleccione Introducir manualmente y escriba una clave de caracteres hash SHA256 (64) válida.
  9. Haga clic en Aceptar.

Habilitar vSGX en una máquina virtual existente

Puede habilitar vSGX en una máquina virtual existente.

Requisitos previos

Consulte Requisitos de vSphere para vSGX.

Procedimiento

  1. Conéctese a vCenter Server mediante vSphere Client.
  2. Haga clic con el botón derecho en la máquina virtual en el inventario que desee modificar y seleccione Editar configuración.
  3. En la pestaña Hardware virtual, expanda Dispositivos de seguridad.
  4. Para habilitar SGX, active la casilla Habilitar.
  5. En el cuadro de texto Tamaño de memoria caché de página de enclave (MB), introduzca el tamaño de la caché en MB.
    Nota: El tamaño de la memoria caché de la página enclave debe ser un múltiplo de 2 MB.
  6. Para evitar que la máquina virtual encienda hosts que no admiten la atestación remota de SGX, como hosts SGX de varios sockets no registrados, active la casilla de verificación Atestación remota.
  7. En el menú desplegable Configuración de control de inicio, seleccione el modo adecuado.
    Opción Acción
    Desbloqueado Esta opción habilita la configuración de enclave de inicio del sistema operativo invitado.
    Bloqueado Esta opción permite configurar el enclave de inicio.
    1. Seleccione la opción Hash de clave pública de enclave de inicio.
    2. Para utilizar una de las claves públicas configuradas en el host, seleccione Utilizar a partir del host y, en el menú desplegable, seleccione un hash de clave pública.
    3. Para introducir la clave pública manualmente, seleccione Introducir manualmente y escriba una clave de caracteres hash SHA256 (64) válida.
  8. Haga clic en Aceptar.

Eliminar vSGX de una máquina virtual

Puede eliminar vSGX de una máquina virtual.

Procedimiento

  1. Conéctese a vCenter Server mediante vSphere Client.
  2. Haga clic con el botón derecho en la máquina virtual en el inventario que desee modificar y seleccione Editar configuración.
  3. En el cuadro de diálogo Editar configuración, en Dispositivos de seguridad, anule la selección de la casilla Habilitar para SGX.
  4. Haga clic en Aceptar.
    Compruebe que la entrada de vSGX ya no aparezca en la pestaña Resumen de la máquina virtual en el panel Hardware de máquina virtual.