Le système d'exploitation invité qui s'exécute sur la machine virtuelle est vulnérable aux mêmes risques de sécurité que tout système physique.

Pour optimiser la sécurité de votre environnement virtuel, vous pouvez ajouter un vTPM (Virtual Trusted Platform Module) à vos hôtes ESXi. Vous pouvez également activer la sécurité basée sur la virtualisation (VBS) pour les machines virtuelles qui exécutent les systèmes d'exploitation Windows 10 et Windows Server 2016 les plus récents. Vous pouvez fournir une sécurité supplémentaire à vos charges de travail à l'aide de vSGX (Virtual Intel® Software Guard Extensions) pour les machines virtuelles.

Activer vSGX sur une machine virtuelle dans VMware Host Client

Pour protéger le contenu des enclaves contre la divulgation et les modifications, vous pouvez activer vSGX sur une machine virtuelle dans VMware Host Client.

Sécuriser les machines virtuelles avec vSGX
vSphere vous permet de configurer vSGX pour les machines virtuelles. Certains processeurs Intel modernes mettent en œuvre une extension de sécurité appelée Intel ® Software Guard Extension (Intel ® SGX). Intel SGX permet de définir des régions privées de mémoire, appelées enclaves, pour le code au niveau utilisateur. Intel SGX protège le contenu des enclaves contre la divulgation ou la modification de telle sorte que le code exécuté en dehors de l'enclave ne puisse pas y accéder.
vSGX permet aux machines virtuelles d'utiliser la technologie Intel SGX si elle est disponible sur le matériel. Pour utiliser vSGX l'hôte ESXi doit être installé sur un CPU compatible SGX et SGX doit être activé dans le BIOS de l'hôte ESXi. Vous pouvez utiliser vSphere Client pour activer SGX pour une machine virtuelle. Pour plus d'informations, consultez la documentation Sécurité vSphere.

Certaines opérations et fonctionnalités ne sont pas compatibles avec SGX.

  • Migration avec Storage vMotion
  • Interruption ou reprise de la machine virtuelle
  • Prise d'un snapshot de la machine virtuelle
  • Fault Tolerance
  • Activation de l'intégrité de l'invité (GI, fondation de plateforme pour VMware AppDefense 1.0)

Conditions préalables

  • Mettez la machine virtuelle hors tension.

  • Vérifiez que la machine virtuelle utilise le microprogramme EFI.
  • Vérifiez que l'hôte ESXi est de version 7.0 ou ultérieure.
  • Vérifiez que le système d'exploitation invité de la machine virtuelle est Linux, Windows 10 (64 bits) ou versions ultérieures, ou Windows Server 2016 (64 bits) ou versions ultérieures.
  • Vérifiez que vous disposez du privilège Machine virtuelle.Configuration.Modifier les paramètres de périphérique sur la machine virtuelle.
  • Vérifiez que l'hôte ESXi est installé sur un CPU compatible SGX et que SGX est activé dans le BIOS de l'hôte ESXi. Pour plus d'informations sur les CPU pris en charge, consultez l'article à l'adresse https://kb.vmware.com/s/article/71367.

Procédure

  1. Dans l'inventaire de VMware Host Client, cliquez sur Machines virtuelles.
  2. Cliquez avec le bouton droit sur une machine virtuelle de la liste et sélectionnez Modifier les paramètres dans le menu contextuel.
  3. Dans l'onglet Matériel virtuel, développez Périphériques de sécurité.
  4. Cochez la case Activer.
  5. Sous Taille du cache de la page d'enclave, entrez une nouvelle valeur dans la zone de texte et sélectionnez la taille en Mo ou Go dans le menu déroulant.
    Note : La taille du cache de la page enclave doit être un multiple de 2.
  6. Dans le menu déroulant Lancer la configuration du contrôle, sélectionnez le mode approprié.
    Option Action
    Verrouillé Active la configuration de l'enclave de lancement.

    Sous Lancer le hachage de la clé publique d'enclave, entrez un hachage SHA256 valide.

    La clé de hachage SHA256 doit contenir 64 caractères.
    Déverrouillé Active la configuration de l'enclave de lancement du système d'exploitation invité.
  7. Cliquez sur Enregistrer.

Désactiver vSGX sur une machine virtuelle dans VMware Host Client

Pour désactiver vSGX sur une machine virtuelle, vous pouvez utiliser VMware Host Client.

Procédure

  1. Dans l'inventaire de VMware Host Client, cliquez sur Machines virtuelles.
  2. Cliquez avec le bouton droit sur une machine virtuelle de la liste et sélectionnez Modifier les paramètres dans le menu contextuel.
  3. Dans l'onglet Matériel virtuel, développez Périphériques de sécurité.
  4. Décochez la case Activer et cliquez sur Enregistrer.

Résultats

vSGX est désactivé sur la machine virtuelle.

Supprimer un périphérique vTPM d'une machine virtuelle dans VMware Host Client

Le TPM (Trusted Platform Module) est une puce spécialisée qui stocke des informations sensibles spécifiques à l'hôte, comme des clés privées et des données secrètes du système d'exploitation. La puce TPM est également utilisée pour effectuer des tâches cryptographiques et attester de l'intégrité de la plate-forme. Dans VMware Host Client, vous pouvez uniquement supprimer le périphérique vTPM d'une machine virtuelle.

Le périphérique TPM virtuel est une émulation logicielle de la fonctionnalité du TPM. Vous pouvez ajouter un périphérique TPM virtuel (vTPM) pour les machines virtuelles de votre environnement. La mise en œuvre du vTPM ne nécessite pas de puce TPM physique sur l'hôte. ESXi utilise le périphérique vTPM pour exercer la fonctionnalité de TPM dans votre environnement vSphere.

vTPM est disponible pour les machines virtuelles disposant des systèmes d'exploitation Windows 10 et Windows Server 2016. La machine virtuelle doit être de version matérielle 14 ou ultérieure.

Vous pouvez ajouter un périphérique TPM virtuel à une machine virtuelle uniquement dans l'instance vCenter Server. Pour plus d'informations, consultez la documentation Sécurité vSphere.

Dans VMware Host Client, vous pouvez uniquement supprimer le périphérique TPM virtuel depuis une machine virtuelle.

Conditions préalables

  • La machine virtuelle doit être de version matérielle 14 ou ultérieure.
  • Le SE invité doit être de version Windows 10 ou Windows Server 2016 et ultérieures.
  • La machine virtuelle doit être mise hors tension.

Procédure

  1. Cliquez sur Machines virtuelles dans l'inventaire VMware Host Client.
  2. Cliquez avec le bouton droit sur une machine virtuelle de la liste et sélectionnez Modifier les paramètres dans le menu contextuel.
  3. Dans l'onglet Matériel virtuel, recherchez le périphérique TPM et cliquez sur l'icône Supprimer.
    Le périphérique TPM virtuel est supprimé de la machine virtuelle.
  4. Cliquez sur Enregistrer pour fermer l'assistant.

Activer ou désactiver la sécurité basée sur la virtualisation (VBS) sur une machine virtuelle existante dans VMware Host Client

La sécurité basée sur la virtualisation utilise la technologie de virtualisation basée sur Microsoft Hyper-V pour isoler les services du système d'exploitation Windows de base dans un environnement distinct et virtualisé. Ce type d'isolation offre un niveau de protection supplémentaire, car il rend impossible la manipulation des services clés de votre environnement.

Vous pouvez modifier le niveau de sécurité d'une machine virtuelle en activant ou en désactivant la sécurité basée sur la virtualisation (VBS) Microsoft sur les machines virtuelles existantes pour les systèmes d'exploitation invités Windows pris en charge.

L'activation de la sécurité basée sur la virtualisation sur une machine virtuelle active automatiquement le matériel virtuel dont Windows a besoin pour la fonctionnalité de sécurité basée sur la virtualisation. En activant la sécurité basée sur la virtualisation, une variante d'Hyper-V démarre sur la machine virtuelle et Windows commence à s'exécuter à l'intérieur de la partition racine d'Hyper-V.

La sécurité basée sur la virtualisation est disponible sur les versions les plus récentes du système d'exploitation Windows, par exemple Windows 10 et Windows Server 2016. Pour utiliser la sécurité basée sur la virtualisation sur une machine virtuelle, la machine virtuelle doit être compatible avec ESXi 6.7 et versions ultérieures.

Dans VMware Host Client, vous pouvez activer la sécurité basée sur la virtualisation lors de la création d'une machine virtuelle. Sinon, vous pouvez activer ou désactiver la sécurité basée sur la virtualisation pour une machine virtuelle existante.

Conditions préalables

La configuration de VBS est un processus qui implique d'abord l'activation de VBS dans la machine virtuelle, puis dans le système d'exploitation invité.
Note : Les nouvelles machines virtuelles configurées pour Windows 10, Windows Serveur 2016 et Windows Server 2019 sur des versions matérielles antérieures à la version 14 sont créées avec le BIOS hérité par défaut. Si vous modifiez le type de microprogramme d'une machine virtuelle à partir du BIOS hérité vers l'interface UEFI, vous devez réinstaller le système d'exploitation invité.

Vous pouvez activer la sécurité basée sur la virtualisation sur une machine virtuelle uniquement si la validation par le TPM de l'hôte est réussie.

L'utilisation de CPU Intel pour VBS nécessite vSphere 6.7 ou version ultérieure. La machine virtuelle doit avoir été créée en utilisant la version matérielle 14 ou une version ultérieure et l'un des systèmes d'exploitation invités pris en charge suivants :

  • Windows 10 (64 bits) ou versions ultérieures
  • Windows Server 2016 (64 bits) ou versions ultérieures

L'utilisation de CPU AMD pour VBS nécessite vSphere 7.0 Update 2 ou version ultérieure. La machine virtuelle doit avoir été créée en utilisant la version matérielle 19 ou une version ultérieure et l'un des systèmes d'exploitation invités pris en charge suivants :

  • Windows 10 (64 bits), version 1809 ou versions ultérieures
  • Windows Server 2019 (64 bits) ou versions ultérieures

Avant d'activer VBS, assurez-vous d'installer les derniers correctifs pour Windows 10, version 1809 et Windows Server 2019.

Pour plus d'informations sur l'activation de VBS pour des machines virtuelles sur les plates-formes AMD, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/89880.

Procédure

  1. Cliquez sur Machines virtuelles dans l'inventaire VMware Host Client.
  2. Cliquez avec le bouton droit sur une machine virtuelle de la liste et sélectionnez Modifier les paramètres dans le menu contextuel.
  3. Dans l'onglet Options VM, activez ou désactivez la sécurité basée sur la virtualisation sur la machine virtuelle.
    • Pour activer la sécurité basée sur la virtualisation pour la machine virtuelle, cochez la case Activer la sécurité basée sur la virtualisation.
    • Pour désactiver la sécurité basée sur la virtualisation pour la machine virtuelle, décochez la case Activer la sécurité basée sur la virtualisation.
    Lorsque vous activez la sécurité basée sur la virtualisation, plusieurs options sont automatiquement sélectionnées et apparaissent en grisé dans l'assistant.
  4. Cliquez sur Enregistrer pour fermer l'assistant.