Activation de l'attestation à distance SGX sur des hôtes ESXi à sockets multiples

Intel^® Software Guard Extensions (Intel^® SGX) est une solution de sécurité basée sur le matériel qui vous permet d'isoler du code et des données d'application spécifiques dans des régions de mémoire privée, appelées enclaves. Utilisez vSphere Client pour enregistrer vos hôtes compatibles SGX avec plusieurs sockets de CPU sur le serveur d'enregistrement Intel et utiliser l'attestation à distance pour les applications exécutées à l'intérieur de vos machines virtuelles compatibles vSGX.

À partir de vSphere 7.0, vous pouvez activer les extensions vSGX (Virtual Intel^® Software Guard Extensions) sur les machines virtuelles et fournir une sécurité supplémentaire à vos charges de travail. Reportez-vous à la section Sécurisation des machines virtuelles avec Intel Software Guard Extensions dans la documentation de Administration d'une machine virtuelle vSphere. En outre, vous pouvez utiliser l'attestation à distance pour les machines virtuelles compatibles vSGX. L'attestation à distance Intel SGX est un mécanisme de sécurité qui vous permet d'établir un canal de communication authentifié et sécurisé avec une entité distante approuvée. Pour utiliser l'attestation à distance pour les machines virtuelles à l'aide d'enclaves SGX, les hôtes disposant d'un seul socket de CPU ne nécessitent pas d'enregistrement Intel.

À partir de vSphere 8.0, pour activer l'attestation à distance sur une machine virtuelle exécutée sur un hôte avec plusieurs sockets de CPU, vous devez d'abord enregistrer l'hôte sur le serveur d'enregistrement Intel. Un hôte compatible SGX avec plusieurs sockets de CPU n'est pas enregistré sur le serveur d'enregistrement Intel. Vous pouvez uniquement mettre sous tension les machines virtuelles compatibles vSGX qui ne nécessitent pas d'attestation à distance.

Lorsque vous ajoutez un hôte avec des CPU compatibles SGX, vCenter Server accède aux variables UEFI (Unified Extensible Firmware Interface) fournies par le BIOS et lit l'état d'enregistrement actuel de l'hôte. Pour permettre à vCenter Server de récupérer des informations sur l'état SGX d'un hôte, vous devez définir le mode de démarrage du microprogramme de l'hôte sur le mode UEFI. Reportez-vous à la section Afficher l'état d'enregistrement SGX de votre hôte ESXi.

Vous pouvez modifier l'état d'enregistrement SGX actuel de l'hôte en utilisant les options d'enregistrement dans vSphere Client ou en redémarrant l'hôte ESXi après la mise à jour du microcode et en ajoutant ou en remplaçant un module de CPU. Après chaque redémarrage de l'hôte, vous pouvez afficher l'état d'enregistrement mis à jour de l'hôte à l'aide de vSphere Client.

État d'enregistrement SGX d'un hôte

Vous pouvez afficher l'état actuel d'un hôte compatible SGX à l'aide de vSphere Client et effectuer les étapes nécessaires pour enregistrer les hôtes sur le serveur d'enregistrement Intel.

État d'enregistrement SGX	Description
Non applicable	Les hôtes compatibles SGX avec un seul socket de CPU ne nécessitent pas d'enregistrement sur le serveur d'enregistrement Intel pour activer l'attestation à distance.
Incomplet	L'état d'enregistrement est incomplet dans l'un des cas d'utilisation suivants : Lorsque vous ajoutez un nouvel hôte à une instance de vCenter Server et que l'hôte n'est pas encore enregistré. Après une mise à jour du microprogramme de l'hôte qui effectue une récupération d'Intel SGX Trusted Computing Base (TCB). Pour les hôtes disposant de plusieurs modules de CPU, lorsqu'un module de CPU est ajouté ou remplacé, vous devez manuellement effectuer une réinitialisation aux paramètres d'usine SGX lors de la configuration du BIOS. L'hôte doit ensuite être enregistré comme s'il s'agissait d'un hôte récemment ajouté. Lorsque vous effectuez manuellement une réinitialisation aux paramètres d'usine SGX lors de la configuration du BIOS, vous devez enregistrer à nouveau l'hôte.
Complet	L'hôte est enregistré sur le serveur d'enregistrement Intel.

État d'enregistrement SGX

Description

Non applicable

Les hôtes compatibles SGX avec un seul socket de CPU ne nécessitent pas d'enregistrement sur le serveur d'enregistrement Intel pour activer l'attestation à distance.

Incomplet

L'état d'enregistrement est incomplet dans l'un des cas d'utilisation suivants :

Lorsque vous ajoutez un nouvel hôte à une instance de vCenter Server et que l'hôte n'est pas encore enregistré.
Après une mise à jour du microprogramme de l'hôte qui effectue une récupération d'Intel SGX Trusted Computing Base (TCB).
Pour les hôtes disposant de plusieurs modules de CPU, lorsqu'un module de CPU est ajouté ou remplacé, vous devez manuellement effectuer une réinitialisation aux paramètres d'usine SGX lors de la configuration du BIOS. L'hôte doit ensuite être enregistré comme s'il s'agissait d'un hôte récemment ajouté.
Lorsque vous effectuez manuellement une réinitialisation aux paramètres d'usine SGX lors de la configuration du BIOS, vous devez enregistrer à nouveau l'hôte.

Complet

L'hôte est enregistré sur le serveur d'enregistrement Intel.

Afficher l'état d'enregistrement SGX de votre hôte ESXi

Vous pouvez afficher l'état d'enregistrement SGX actuel d'un hôte ESXi à l'aide de vSphere Client.

Conditions préalables

Assurez-vous que l'hôte est installé sur un CPU Intel avec des capacités SGX et que SGX est activé.
Définissez le mode de démarrage du microprogramme de l'hôte sur UEFI.

Procédure

Dans vSphere Client, accédez à un hôte compatible SGX.
Dans l'onglet Résumé, accédez à la carte Matériel.
Développez le nœud SGX pour afficher la valeur de la propriété État de l'enregistrement.

Pour plus d'informations sur les différents états d'enregistrement, reportez-vous à la section État d'enregistrement SGX d'un hôte.

Que faire ensuite

Pour utiliser la fonctionnalité d'attestation à distance pour les machines virtuelles compatibles vSGX vous devez enregistrer l'hôte dans le serveur d'enregistrement Intel si l'enregistrement de l'hôte est incomplet et si l'hôte dispose de plusieurs sockets de CPU. Reportez-vous à la section Comment enregistrer votre hôte ESXi à plusieurs sockets auprès du serveur d'enregistrement Intel SGX.

Comment enregistrer votre hôte ESXi à plusieurs sockets auprès du serveur d'enregistrement Intel SGX

Pour utiliser la fonctionnalité d'attestation à distance SGX pour un hôte à plusieurs sockets, enregistrez l'hôte ESXi auprès du serveur d'enregistrement Intel à l'aide de vSphere Client.

Le mécanisme d'attestation Intel SGX garantit l'approbation entre l'enclave vSGX et une entité externe. Pour utiliser cette fonctionnalité sur un hôte à plusieurs sockets sur lequel des capacités SGX sont activées, vous devez enregistrer l'hôte sur le serveur d'enregistrement Intel SGX.

Conditions préalables

Assurez-vous que l'hôte est installé sur un CPU Intel avec des capacités SGX et que SGX est activé.
Définissez le mode de démarrage du microprogramme de l'hôte sur UEFI.

Procédure

Dans la page d'accueil de vSphere Client, accédez à Accueil > Hôtes et clusters.
Sélectionnez un hôte compatible SGX dans l'inventaire et cliquez sur l'onglet Configurer.
Sous Matériel, sélectionnez SGX et cliquez sur Enregistrer.

Résultats

Une fois l'opération d'enregistrement terminée, l'état d'enregistrement de l'hôte devient Terminé.

Que faire ensuite

Activez l'attestation à distance pour une machine virtuelle sur laquelle vSGX est activé. Reportez-vous à la section Sécurisation des machines virtuelles avec Intel Software Guard Extensions dans la documentation de Administration d'une machine virtuelle vSphere.