Pour protéger le contenu des enclaves contre la divulgation et les modifications, vous pouvez activer vSGX sur une machine virtuelle dans VMware Host Client.

Certaines opérations et fonctionnalités ne sont pas compatibles avec SGX.

  • Migration avec Storage vMotion
  • Interruption ou reprise de la machine virtuelle
  • Prise d'un snapshot de la machine virtuelle
  • Fault Tolerance
  • Activation de l'intégrité de l'invité (GI, fondation de plateforme pour VMware AppDefense 1.0)

Conditions préalables

  • Mettez la machine virtuelle hors tension.

  • Vérifiez que la machine virtuelle utilise le microprogramme EFI.
  • Vérifiez que l'hôte ESXi est de version 7.0 ou ultérieure.
  • Vérifiez que le système d'exploitation invité de la machine virtuelle est Linux, Windows 10 (64 bits) ou versions ultérieures, ou Windows Server 2016 (64 bits) ou versions ultérieures.
  • Vérifiez que vous disposez du privilège Machine virtuelle.Configuration.Modifier les paramètres de périphérique sur la machine virtuelle.
  • Vérifiez que l'hôte ESXi est installé sur un CPU compatible SGX et que SGX est activé dans le BIOS de l'hôte ESXi. Pour plus d'informations sur les CPU pris en charge, consultez l'article à l'adresse https://kb.vmware.com/s/article/71367.

Procédure

  1. Dans l'inventaire de VMware Host Client, cliquez sur Machines virtuelles.
  2. Cliquez avec le bouton droit sur une machine virtuelle de la liste et sélectionnez Modifier les paramètres dans le menu contextuel.
  3. Dans l'onglet Matériel virtuel, développez Périphériques de sécurité.
  4. Cochez la case Activer.
  5. Sous Taille du cache de la page d'enclave, entrez une nouvelle valeur dans la zone de texte et sélectionnez la taille en Mo ou Go dans le menu déroulant.
    Note : La taille du cache de la page enclave doit être un multiple de 2.
  6. Dans le menu déroulant Lancer la configuration du contrôle, sélectionnez le mode approprié.
    Option Action
    Verrouillé Active la configuration de l'enclave de lancement.

    Sous Lancer le hachage de la clé publique d'enclave, entrez un hachage SHA256 valide.

    La clé de hachage SHA256 doit contenir 64 caractères.
    Déverrouillé Active la configuration de l'enclave de lancement du système d'exploitation invité.
  7. Cliquez sur Enregistrer.