Intel® Software Guard Extensions (Intel® SGX) es una solución de seguridad basada en hardware que permite aislar datos y código de aplicación específicos en regiones de memoria privadas que se denominan enclaves. Con vSphere Client, registre los hosts compatibles con SGX con varios sockets de CPU con el servidor de registro de Intel y utilice la atestación remota para las aplicaciones que se ejecuten dentro de las máquinas virtuales habilitadas para vSGX.

A partir de vSphere 7.0, puede habilitar Virtual Intel® Software Guard Extensions (vSGX) en las máquinas virtuales y proporcionar seguridad adicional a las cargas de trabajo. Consulte Proteger máquinas virtuales con Intel Software Guard Extensions en la documentación de Administrar máquinas virtuales de vSphere. También puede utilizar la atestación remota para las máquinas virtuales habilitadas para vSGX. La atestación remota Intel SGX es un mecanismo de seguridad que permite establecer un canal de comunicación autenticado y seguro con una entidad remota de confianza. Para utilizar la atestación remota para máquinas virtuales que usan enclaves de SGX, los hosts con un solo socket de CPU no requieren registro en Intel.

A partir de vSphere 8.0, para habilitar la atestación remota en una máquina virtual que se ejecute en un host con varios sockets de CPU, primero debe registrar el host con el servidor de registro de Intel. Si un host compatible con SGX con varios sockets de CPU no está registrado en el servidor de registro de Intel, solo podrá encender máquinas virtuales habilitadas para vSGX que no requieran atestación remota.

Cuando agrega un host con CPU compatibles con SGX, vCenter Server accede a las variables de Unified Extensible Firmware Interface (UEFI) que proporciona el BIOS y lee el estado de registro actual del host. Para permitir que vCenter Server recupere información sobre el estado de SGX de un host, debe establecer el modo de arranque de firmware del host en modo UEFI. Consulte Cómo ver el estado de registro de SGX del host ESXi.

Si desea cambiar el estado de registro actual de SGX del host, puede hacerlo mediante las opciones de registro en vSphere Client o puede reiniciar el host ESXi después de actualizar el microcódigo y agregar o reemplazar un paquete de CPU. Después de reiniciar cada host, puede ver el estado de registro actualizado del host mediante vSphere Client.

Estados de registro de SGX de un host

Puede ver el estado actual de los hosts compatibles con SGX mediante vSphere Client y realizar los pasos necesarios para registrar los hosts en el servidor de registro de Intel.

Estado de registro de SGX

Descripción

No aplicable

Los hosts compatibles con SGX con un solo socket de CPU no requieren registro en el servidor de registro de Intel para habilitar la atestación remota.

Incompleto

El estado de registro está incompleto en uno de los siguientes casos prácticos:

  • Cuando agrega un nuevo host a una instancia de vCenter Server y el host no está aún registrado.

  • Después de una actualización de firmware del host que realiza una recuperación de base de computación de confianza (Trusted Computing Base, TCB) de Intel SGX.

  • Para los hosts que tienen varios paquetes de CPU, cuando se agrega o se reemplaza un paquete de CPU, debe realizar manualmente un restablecimiento de fábrica de SGX en la configuración del BIOS. A continuación, el host debe registrarse como si fuera un host recién agregado.

  • Cuando realiza manualmente un restablecimiento de fábrica de SGX en la configuración del BIOS, debe volver a registrar el host.

Completo

El host se registró correctamente con el servidor de registro de Intel.

Cómo ver el estado de registro de SGX del host ESXi

Puede ver el estado de registro actual de SGX de un host ESXi mediante vSphere Client.

Requisitos previos

  • Asegúrese de que el host esté instalado en una CPU Intel con capacidades de SGX y que SGX esté habilitado.

  • Establezca el modo de arranque de firmware del host en UEFI.

Procedimiento

  1. En vSphere Client, desplácese hasta un host compatible con SGX.
  2. En la pestaña Resumen , desplácese hasta la tarjeta Hardware .
  3. Expanda el nodo SGX para ver el valor de la propiedad de estado de registro.

    Para obtener más información sobre los distintos estados de registro, consulte Estados de registro de SGX de un host.

Qué hacer a continuación

Para usar la función de atestación remota para máquinas virtuales habilitadas para vSGX, debe registrar el host con el servidor de registro de Intel si el registro del host está incompleto y el host tiene varios sockets de CPU. Consulte Cómo registrar un host ESXi multisocket con el servidor de registro de Intel SGX.

Cómo registrar un host ESXi multisocket con el servidor de registro de Intel SGX

Para usar la función de atestación remota de SGX para un host de varios sockets, registre el host ESXi en el servidor de registro de Intel mediante el vSphere Client.

El mecanismo de atestación Intel SGX garantiza la confianza entre el enclave de vSGX y una entidad externa. Para utilizar esta función en un host multi socket con capacidades de SGX habilitadas, debe registrar el host con el servidor de registro de Intel SGX.

Requisitos previos

  • Asegúrese de que el host esté instalado en una CPU Intel con capacidades de SGX y que SGX esté habilitado.

  • Establezca el modo de arranque de firmware del host en UEFI.

Procedimiento

  1. En la página de inicio de vSphere Client, vaya a Inicio > Hosts y clústeres.
  2. En el inventario, seleccione un host compatible con SGX y haga clic en la pestaña Configurar.
  3. En Hardware, seleccione SGX y haga clic en Registrar.

Resultados

Una vez completada correctamente la operación de registro, el estado de registro del host cambia a Completado.

Qué hacer a continuación

Habilite la atestación remota para una máquina virtual habilitada para vSGX. Consulte Proteger máquinas virtuales con Intel Software Guard Extensions en la documentación de Administrar máquinas virtuales de vSphere.