Intel® Software Guard Extensions (Intel® SGX) est une solution de sécurité basée sur le matériel qui vous permet d'isoler du code et des données d'application spécifiques dans des régions de mémoire privée, appelées enclaves. Utilisez vSphere Client pour enregistrer vos hôtes compatibles SGX avec plusieurs sockets de CPU sur le serveur d'enregistrement Intel et utiliser l'attestation à distance pour les applications exécutées à l'intérieur de vos machines virtuelles compatibles vSGX.
À partir de vSphere 7.0, vous pouvez activer les extensions vSGX (Virtual Intel® Software Guard Extensions) sur les machines virtuelles et fournir une sécurité supplémentaire à vos charges de travail. Reportez-vous à la section Sécurisation des machines virtuelles avec Intel Software Guard Extensions dans la documentation de Administration d'une machine virtuelle vSphere. En outre, vous pouvez utiliser l'attestation à distance pour les machines virtuelles compatibles vSGX. L'attestation à distance Intel SGX est un mécanisme de sécurité qui vous permet d'établir un canal de communication authentifié et sécurisé avec une entité distante approuvée. Pour utiliser l'attestation à distance pour les machines virtuelles à l'aide d'enclaves SGX, les hôtes disposant d'un seul socket de CPU ne nécessitent pas d'enregistrement Intel.
À partir de vSphere 8.0, pour activer l'attestation à distance sur une machine virtuelle exécutée sur un hôte avec plusieurs sockets de CPU, vous devez d'abord enregistrer l'hôte sur le serveur d'enregistrement Intel. Un hôte compatible SGX avec plusieurs sockets de CPU n'est pas enregistré sur le serveur d'enregistrement Intel. Vous pouvez uniquement mettre sous tension les machines virtuelles compatibles vSGX qui ne nécessitent pas d'attestation à distance.
Lorsque vous ajoutez un hôte avec des CPU compatibles SGX, vCenter Server accède aux variables UEFI (Unified Extensible Firmware Interface) fournies par le BIOS et lit l'état d'enregistrement actuel de l'hôte. Pour permettre à vCenter Server de récupérer des informations sur l'état SGX d'un hôte, vous devez définir le mode de démarrage du microprogramme de l'hôte sur le mode UEFI. Reportez-vous à la section Afficher l'état d'enregistrement SGX de votre hôte ESXi.
Vous pouvez modifier l'état d'enregistrement SGX actuel de l'hôte en utilisant les options d'enregistrement dans vSphere Client ou en redémarrant l'hôte ESXi après la mise à jour du microcode et en ajoutant ou en remplaçant un module de CPU. Après chaque redémarrage de l'hôte, vous pouvez afficher l'état d'enregistrement mis à jour de l'hôte à l'aide de vSphere Client.
État d'enregistrement SGX d'un hôte
Vous pouvez afficher l'état actuel d'un hôte compatible SGX à l'aide de vSphere Client et effectuer les étapes nécessaires pour enregistrer les hôtes sur le serveur d'enregistrement Intel.
État d'enregistrement SGX |
Description |
---|---|
Non applicable |
Les hôtes compatibles SGX avec un seul socket de CPU ne nécessitent pas d'enregistrement sur le serveur d'enregistrement Intel pour activer l'attestation à distance. |
Incomplet |
L'état d'enregistrement est incomplet dans l'un des cas d'utilisation suivants :
|
Complet |
L'hôte est enregistré sur le serveur d'enregistrement Intel. |
Afficher l'état d'enregistrement SGX de votre hôte ESXi
Vous pouvez afficher l'état d'enregistrement SGX actuel d'un hôte ESXi à l'aide de vSphere Client.
Conditions préalables
Assurez-vous que l'hôte est installé sur un CPU Intel avec des capacités SGX et que SGX est activé.
Définissez le mode de démarrage du microprogramme de l'hôte sur UEFI.
Procédure
Que faire ensuite
Pour utiliser la fonctionnalité d'attestation à distance pour les machines virtuelles compatibles vSGX vous devez enregistrer l'hôte dans le serveur d'enregistrement Intel si l'enregistrement de l'hôte est incomplet et si l'hôte dispose de plusieurs sockets de CPU. Reportez-vous à la section Comment enregistrer votre hôte ESXi à plusieurs sockets auprès du serveur d'enregistrement Intel SGX.
Comment enregistrer votre hôte ESXi à plusieurs sockets auprès du serveur d'enregistrement Intel SGX
Pour utiliser la fonctionnalité d'attestation à distance SGX pour un hôte à plusieurs sockets, enregistrez l'hôte ESXi auprès du serveur d'enregistrement Intel à l'aide de vSphere Client.
Le mécanisme d'attestation Intel SGX garantit l'approbation entre l'enclave vSGX et une entité externe. Pour utiliser cette fonctionnalité sur un hôte à plusieurs sockets sur lequel des capacités SGX sont activées, vous devez enregistrer l'hôte sur le serveur d'enregistrement Intel SGX.
Conditions préalables
Assurez-vous que l'hôte est installé sur un CPU Intel avec des capacités SGX et que SGX est activé.
Définissez le mode de démarrage du microprogramme de l'hôte sur UEFI.
Procédure
- Dans la page d'accueil de vSphere Client, accédez à .
- Sélectionnez un hôte compatible SGX dans l'inventaire et cliquez sur l'onglet Configurer.
- Sous Matériel, sélectionnez SGX et cliquez sur Enregistrer.
Résultats
Une fois l'opération d'enregistrement terminée, l'état d'enregistrement de l'hôte devient Terminé.
Que faire ensuite
Activez l'attestation à distance pour une machine virtuelle sur laquelle vSGX est activé. Reportez-vous à la section Sécurisation des machines virtuelles avec Intel Software Guard Extensions dans la documentation de Administration d'une machine virtuelle vSphere.