vSphere vous permet de configurer vSGX (Virtual Intel® Software Guard Extensions) pour les machines virtuelles. L'utilisation de vSGX vous permet de fournir une sécurité supplémentaire à vos charges de travail.
Certains processeurs Intel modernes mettent en œuvre une extension de sécurité appelée Intel® Software Guard Extensions (Intel® SGX). Intel SGX est une technologie spécifique au processeur pour les développeurs d'applications qui cherchent à protéger une sélection de code et de données contre la divulgation ou la modification. Intel SGX permet de définir des régions privées de mémoire, appelées enclaves, pour le code au niveau utilisateur. Le contenu de l'enclave est protégé afin que le code exécuté en dehors de l'enclave ne puisse pas accéder au contenu de l'enclave.
vSGX permet aux machines virtuelles d'utiliser la technologie Intel SGX si elle est disponible sur le matériel. Pour utiliser vSGX l'hôte ESXi doit être installé sur un CPU compatible SGX et SGX doit être activé dans le BIOS de l'hôte ESXi. Vous pouvez utiliser vSphere Client pour activer SGX pour une machine virtuelle.
Dans vSphere 8.0 et versions ultérieures, vous pouvez utiliser l'attestation à distance pour une machine virtuelle compatible avec vSGX. L'attestation à distance Intel SGX est un mécanisme de sécurité qui vous permet d'établir un canal de communication authentifié et sécurisé avec une entité distante approuvée. Pour utiliser l'attestation à distance pour les machines virtuelles utilisant des enclaves SGX, les hôtes disposant d'un socket de CPU unique ne nécessitent pas d'enregistrement Intel. Pour activer l'attestation à distance sur une machine virtuelle s'exécutant sur un hôte avec plusieurs sockets de CPU, vous devez d'abord inscrire l'hôte auprès du serveur d'enregistrement Intel. Un hôte compatible SGX avec plusieurs sockets de CPU n'est pas enregistré sur le serveur d'enregistrement Intel. Vous pouvez uniquement mettre sous tension les machines virtuelles compatibles vSGX qui ne nécessitent pas d'attestation à distance.
Pour plus d'informations sur l'inscription d'un hôte ESXi multi-socket auprès du serveur d'enregistrement Intel, consultez la documentation sur Gestion de vCenter Server et des hôtes.
Démarrage avec vSGX
Les machines virtuelles peuvent utiliser la technologie Intel SGX, si elle disponible sur le matériel.
Configuration vSphere requise pour vSGX
Pour utiliser vSGX, votre environnement vSphere doit répondre aux exigences suivantes :
- Configuration requise pour la machine virtuelle :
- Micrologiciel EFI
- Matériel version 17 ou ultérieure
- Pour activer l'attestation à distance, version matérielle 20 ou ultérieure
- Configuration requise pour le composant :
- vCenter Server 7.0 et versions ultérieures
- ESXi 7.0 et versions ultérieures
- L'hôte ESXi doit être installé sur un CPU compatible SGX et SGX doit être activé dans le BIOS de l'hôte ESXi.
- Pour activer l'attestation à distance de l'hôte, enregistrez l'hôte auprès du serveur d'enregistrement Intel. Ainsi, la machine virtuelle s'exécutant sur l'hôte pourra utiliser l'attestation à distance. Pour plus d'informations sur l'enregistrement d'un ESXi multi-socket, consultez la documentation Gestion de vCenter Server et des hôtes.
- Prise en charge du système d'exploitation invité :
- Linux
- Windows Server 2016 (64 bits) et versions ultérieures
- Windows 10 (64 bits) et versions ultérieures
Matériel Intel pris en charge pour vSGX
Pour connaître le matériel Intel pris en charge pour vSGX, consultez le Guide de compatibilité vSphere à l'adresse https://www.vmware.com/resources/compatibility/search.php.
Vous devrez peut-être désactiver l'hyperthreading sur certains CPU pour activer SGX sur l'hôte ESXi. Pour plus d'informations, consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/71367.
Fonctionnalités de VMware non prises en charge sur vSGX
Les fonctionnalités suivantes ne sont pas prises en charge dans une machine virtuelle lorsque vSGX est activé :
- Migration vMotion/DRS
- Interruption et reprise de machine virtuelle
- Snapshots de machines virtuelles (les snapshots de machine virtuelle sont pris en charge si vous ne prenez pas de snapshot de la mémoire de la machine virtuelle.)
- Fault Tolerance
- Intégrité de l'invité (GI, fondation de plateforme pour VMware AppDefense™ 1.0)
Ces fonctionnalités VMware ne sont pas prises en charge en raison de la manière dont l'architecture Intel SGX fonctionne. Cela n'est pas dû à une insuffisance de VMware.
Activer vSGX sur une machine virtuelle
Vous pouvez activer vSGX sur une machine virtuelle en même temps que vous créez une machine virtuelle.
Conditions préalables
Procédure
Activer vSGX sur une machine virtuelle existante
Vous pouvez activer vSGX sur une machine virtuelle existante.
Conditions préalables
Procédure
Supprimer vSGX d'une machine virtuelle
Vous pouvez supprimer vSGX d'une machine virtuelle.