Sécurisation des machines virtuelles avec Intel Software Guard Extensions

vSphere vous permet de configurer vSGX (Virtual Intel^® Software Guard Extensions) pour les machines virtuelles. L'utilisation de vSGX vous permet de fournir une sécurité supplémentaire à vos charges de travail.

Certains processeurs Intel modernes mettent en œuvre une extension de sécurité appelée Intel^® Software Guard Extensions (Intel^® SGX). Intel SGX est une technologie spécifique au processeur pour les développeurs d'applications qui cherchent à protéger une sélection de code et de données contre la divulgation ou la modification. Intel SGX permet de définir des régions privées de mémoire, appelées enclaves, pour le code au niveau utilisateur. Le contenu de l'enclave est protégé afin que le code exécuté en dehors de l'enclave ne puisse pas accéder au contenu de l'enclave.

vSGX permet aux machines virtuelles d'utiliser la technologie Intel SGX si elle est disponible sur le matériel. Pour utiliser vSGX l'hôte ESXi doit être installé sur un CPU compatible SGX et SGX doit être activé dans le BIOS de l'hôte ESXi. Vous pouvez utiliser vSphere Client pour activer SGX pour une machine virtuelle.

Dans vSphere 8.0 et versions ultérieures, vous pouvez utiliser l'attestation à distance pour une machine virtuelle compatible avec vSGX. L'attestation à distance Intel SGX est un mécanisme de sécurité qui vous permet d'établir un canal de communication authentifié et sécurisé avec une entité distante approuvée. Pour utiliser l'attestation à distance pour les machines virtuelles utilisant des enclaves SGX, les hôtes disposant d'un socket de CPU unique ne nécessitent pas d'enregistrement Intel. Pour activer l'attestation à distance sur une machine virtuelle s'exécutant sur un hôte avec plusieurs sockets de CPU, vous devez d'abord inscrire l'hôte auprès du serveur d'enregistrement Intel. Un hôte compatible SGX avec plusieurs sockets de CPU n'est pas enregistré sur le serveur d'enregistrement Intel. Vous pouvez uniquement mettre sous tension les machines virtuelles compatibles vSGX qui ne nécessitent pas d'attestation à distance.

Pour plus d'informations sur l'inscription d'un hôte ESXi multi-socket auprès du serveur d'enregistrement Intel, consultez la documentation sur Gestion de vCenter Server et des hôtes.

Démarrage avec vSGX

Les machines virtuelles peuvent utiliser la technologie Intel SGX, si elle disponible sur le matériel.

Configuration vSphere requise pour vSGX

Pour utiliser vSGX, votre environnement vSphere doit répondre aux exigences suivantes :

Configuration requise pour la machine virtuelle :
- Micrologiciel EFI
- Matériel version 17 ou ultérieure
- Pour activer l'attestation à distance, version matérielle 20 ou ultérieure
Configuration requise pour le composant :
- vCenter Server 7.0 et versions ultérieures
- ESXi 7.0 et versions ultérieures
- L'hôte ESXi doit être installé sur un CPU compatible SGX et SGX doit être activé dans le BIOS de l'hôte ESXi.
- Pour activer l'attestation à distance de l'hôte, enregistrez l'hôte auprès du serveur d'enregistrement Intel. Ainsi, la machine virtuelle s'exécutant sur l'hôte pourra utiliser l'attestation à distance. Pour plus d'informations sur l'enregistrement d'un ESXi multi-socket, consultez la documentation Gestion de vCenter Server et des hôtes.
Prise en charge du système d'exploitation invité :
- Linux
- Windows Server 2016 (64 bits) et versions ultérieures
- Windows 10 (64 bits) et versions ultérieures

Matériel Intel pris en charge pour vSGX

Pour connaître le matériel Intel pris en charge pour vSGX, consultez le Guide de compatibilité vSphere à l'adresse https://www.vmware.com/resources/compatibility/search.php.

Vous devrez peut-être désactiver l'hyperthreading sur certains CPU pour activer SGX sur l'hôte ESXi. Pour plus d'informations, consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/71367.

Fonctionnalités de VMware non prises en charge sur vSGX

Les fonctionnalités suivantes ne sont pas prises en charge dans une machine virtuelle lorsque vSGX est activé :

Migration vMotion/DRS
Interruption et reprise de machine virtuelle
Snapshots de machines virtuelles (les snapshots de machine virtuelle sont pris en charge si vous ne prenez pas de snapshot de la mémoire de la machine virtuelle.)
Fault Tolerance
Intégrité de l'invité (GI, fondation de plateforme pour VMware AppDefense™ 1.0)

Note :

Ces fonctionnalités VMware ne sont pas prises en charge en raison de la manière dont l'architecture Intel SGX fonctionne. Cela n'est pas dû à une insuffisance de VMware.

Activer vSGX sur une machine virtuelle

Vous pouvez activer vSGX sur une machine virtuelle en même temps que vous créez une machine virtuelle.

Conditions préalables

Reportez-vous à la section Configuration vSphere requise pour vSGX.

Procédure

Connectez-vous à vCenter Server à l'aide de vSphere Client.
Sélectionnez un objet dans l'inventaire qui est un objet parent valide d'une machine virtuelle, par exemple un hôte ESXi ou un cluster.
Cliquez avec le bouton droit sur l'objet, sélectionnez Nouvelle machine virtuelle et suivez les invites pour créer une machine virtuelle.
Sur la page Personnaliser le matériel, cliquez sur l'onglet Matériel virtuel et développez Périphériques de sécurité.
Pour activer SGX, cochez la case Activer.
Dans la zone de texte Taille du cache de la page d'enclave (Mo), entrez la taille du cache en Mo.

Note : La taille du cache de la page enclave doit être un multiple de 2 Mo.
Pour empêcher la machine virtuelle de mettre sous tension des hôtes qui ne prennent pas en charge l'attestation à distance SGX, tels que les hôtes SGX multi-sockets non enregistrés, cochez la case Attestation à distance.

Dans le menu déroulant Lancer la configuration du contrôle, sélectionnez le mode approprié.

Option	Action
Déverrouillé	Cette option active la configuration de l'enclave de lancement du système d'exploitation invité.
Verrouillé	Cette option vous permet de configurer l'enclave de lancement. Sélectionnez l'option Lancer le hachage de la clé publique d'enclave. Pour utiliser l'une des clés publiques configurées sur l'hôte, sélectionnez Utiliser à partir de l'hôte et, dans le menu déroulant, sélectionnez un hachage de clé publique. Pour entrer la clé publique manuellement, sélectionnez Entrez manuellement et entrez une clé de caractères de hachage SHA256 (64) valide.

Option

Action

Déverrouillé

Cette option active la configuration de l'enclave de lancement du système d'exploitation invité.

Verrouillé

Cette option vous permet de configurer l'enclave de lancement.

Sélectionnez l'option Lancer le hachage de la clé publique d'enclave.
Pour utiliser l'une des clés publiques configurées sur l'hôte, sélectionnez Utiliser à partir de l'hôte et, dans le menu déroulant, sélectionnez un hachage de clé publique.
Pour entrer la clé publique manuellement, sélectionnez Entrez manuellement et entrez une clé de caractères de hachage SHA256 (64) valide.

Cliquez sur OK.

Activer vSGX sur une machine virtuelle existante

Vous pouvez activer vSGX sur une machine virtuelle existante.

Conditions préalables

Reportez-vous à la section Configuration vSphere requise pour vSGX.

Procédure

Connectez-vous à vCenter Server à l'aide de vSphere Client.
Cliquez avec le bouton droit sur la machine virtuelle dans l'inventaire que vous voulez modifier, puis sélectionnez Modifier les paramètres.
Dans l'onglet Matériel virtuel, développez Périphériques de sécurité.
Pour activer SGX, cochez la case Activer.
Dans la zone de texte Taille du cache de la page d'enclave (Mo), entrez la taille du cache en Mo.

Note : La taille du cache de la page enclave doit être un multiple de 2 Mo.
Pour empêcher la machine virtuelle de mettre sous tension des hôtes qui ne prennent pas en charge l'attestation à distance SGX, tels que les hôtes SGX multi-sockets non enregistrés, cochez la case Attestation à distance.

Dans le menu déroulant Lancer la configuration du contrôle, sélectionnez le mode approprié.

Option	Action
Déverrouillé	Cette option active la configuration de l'enclave de lancement du système d'exploitation invité.
Verrouillé	Cette option vous permet de configurer l'enclave de lancement. Sélectionnez l'option Lancer le hachage de la clé publique d'enclave. Pour utiliser l'une des clés publiques configurées sur l'hôte, sélectionnez Utiliser à partir de l'hôte et, dans le menu déroulant, sélectionnez un hachage de clé publique. Pour entrer la clé publique manuellement, sélectionnez Entrez manuellement et entrez une clé de caractères de hachage SHA256 (64) valide.

Option

Action

Déverrouillé

Cette option active la configuration de l'enclave de lancement du système d'exploitation invité.

Verrouillé

Cette option vous permet de configurer l'enclave de lancement.

Sélectionnez l'option Lancer le hachage de la clé publique d'enclave.
Pour utiliser l'une des clés publiques configurées sur l'hôte, sélectionnez Utiliser à partir de l'hôte et, dans le menu déroulant, sélectionnez un hachage de clé publique.
Pour entrer la clé publique manuellement, sélectionnez Entrez manuellement et entrez une clé de caractères de hachage SHA256 (64) valide.

Cliquez sur OK.

Supprimer vSGX d'une machine virtuelle

Vous pouvez supprimer vSGX d'une machine virtuelle.

Procédure

Connectez-vous à vCenter Server à l'aide de vSphere Client.
Cliquez avec le bouton droit sur la machine virtuelle dans l'inventaire que vous voulez modifier, puis sélectionnez Modifier les paramètres.
Dans la boîte de dialogue Modifier les paramètres, sous Périphériques de sécurité, décochez la case Activer pour SGX.
Cliquez sur OK.
Vérifiez que l'entrée vSGX n'apparaît plus dans l'onglet Résumé de la machine virtuelle, dans le volet Matériel VM.