Il sistema operativo guest eseguito nella macchina virtuale è vulnerabile agli stessi rischi per la sicurezza di qualsiasi sistema fisico.
Per incrementare la sicurezza nell'ambiente virtuale, è possibile aggiungere un'istanza di Trusted Platform Module virtuale (vTPM) ai propri host ESXi. È inoltre possibile abilitare la sicurezza basata sulla virtualizzazione (VBS) per le macchine virtuali che eseguono i sistemi operativi Windows 10 e Windows Server 2016 più recenti. È possibile offrire una protezione aggiuntiva ai carichi di lavoro utilizzando Virtual Intel® Software Guard Extensions (vSGX) per le macchine virtuali.
Attivazione di vSGX in una macchina virtuale in VMware Host Client
Per proteggere i contenuti Enclave dalla divulgazione e dalle modifiche, è possibile attivare vSGX in una macchina virtuale in VMware Host Client.
- Protezione delle macchine virtuali con vSGX
- vSphere consente di configurare vSGX per le macchine virtuali. Alcune CPU Intel moderne implementano un'estensione di sicurezza denominata Intel ® Software Guard Extension (Intel ® SGX). Intel SGX consente al codice a livello di utente di definire le regioni private della memoria, denominate enclave. Intel SGX protegge i contenuti Enclave dalla divulgazione o dalla modifica in modo tale che il codice eseguito al di fuori di Enclave non possa accedervi.
Alcune operazioni e funzionalità non sono compatibili con SGX.
- Migrazione con Storage vMotion
- Sospensione o ripresa della macchina virtuale
- Creazione di uno snapshot della macchina virtuale
- Fault Tolerance
- Abilitazione dell'integrità del guest (GI, platform foundation for VMware AppDefense 1.0)
Prerequisiti
-
Spegnere la macchina virtuale.
- Verificare che la macchina virtuale utilizzi il firmware EFI.
- Verificare che la versione dell'host ESXi sia 7.0 o successiva.
- Verificare che il sistema operativo guest nella macchina virtuale sia Linux, Windows 10 (64 bit) o versioni successive oppure Windows Server 2016 (64 bit) o versioni successive.
- Verificare di disporre del privilegio sulla macchina virtuale.
- Verificare che l'host ESXi sia installato su una CPU compatibile con SGX e che SGX sia abilitato nel BIOS dell'host ESXi. Per informazioni sulle CPU supportate, vedere https://kb.vmware.com/s/article/71367.
Procedura
Disattivazione di vSGX in una macchina virtuale in VMware Host Client
Per disattivare vSGX in una macchina virtuale, è possibile utilizzare VMware Host Client.
Procedura
- Nell'inventario di VMware Host Client, fare clic su Macchine virtuali.
- Fare clic con il pulsante destro del mouse su una macchina virtuale nell'elenco e selezionare Modifica impostazioni dal menu a comparsa.
- Nella scheda Hardware virtuale, espandere Dispositivi di sicurezza.
- Deselezionare la casella di controllo Abilita e fare clic su Salva.
risultati
vSGX è disattivato nella macchina virtuale.
Rimozione di un dispositivo vTPM da una macchina virtuale in VMware Host Client
La tecnologia Trusted Platform Module (TPM) è costituita da un chip specializzato che archivia informazioni riservate specifiche dell'host, ad esempio chiavi private e segreti del sistema operativo. Il chip TPM viene utilizzato anche per eseguire le attività crittografiche e verificare l'integrità della piattaforma. In VMware Host Client è possibile rimuovere il dispositivo vTPM solo da una macchina virtuale.
Il dispositivo TPM virtuale è un'emulazione software della funzionalità TPM. È possibile aggiungere un dispositivo TPM virtuale (vTPM) alle macchine virtuali presenti nell'ambiente in uso. L'implementazione di vTPM non richiede un chip TPM fisico nell'host. ESXi utilizza il dispositivo vTPM per applicare la funzionalità TPM nell'ambiente vSphere.
vTPM è disponibile per macchine virtuali con sistemi operativi Windows 10 e Windows Server 2016. La versione dell'hardware della macchina virtuale deve essere 14 o successiva.
È possibile aggiungere un dispositivo TPM virtuale a una macchina virtuale solo nell'istanza di vCenter Server. Per ulteriori informazioni, vedere la documentazione di Sicurezza di vSphere.
In VMware Host Client è possibile solo rimuovere il dispositivo TPM virtuale da una macchina virtuale.
Prerequisiti
- La versione dell'hardware della macchina virtuale deve essere 14 o successiva.
- Il sistema operativo guest deve essere Windows 10 o Windows Server 2016 e versioni successive.
- È necessario che la macchina virtuale sia spenta.
Procedura
Attivare o disattivare la sicurezza basata sulla virtualizzazione in una macchina virtuale esistente in VMware Host Client
La sicurezza basata sulla virtualizzazione (VBS) utilizza la tecnologia di virtualizzazione basata su Microsoft Hyper-V per isolare i servizi principali del sistema operativo Windows in un ambiente virtualizzato separato. Questo isolamento garantisce un livello di protezione aggiuntivo, perché rende impossibile manipolare i servizi principali nell'ambiente in uso.
È possibile modificare il livello di sicurezza di una macchina virtuale abilitando o disabilitando la sicurezza basata sulla virtualizzazione (VBS) Microsoft in macchine virtuali esistenti per i sistemi operativi guest Windows supportati.
Se si attiva VBS in una macchina virtuale, viene automaticamente attivato l'hardware virtuale richiesto da Windows per la funzionalità VBS. Quando si abilita la tecnologia VBS, nella macchina virtuale viene avviata una variante di Hyper-V e Windows inizia a essere eseguito all'interno della partizione root Hyper-V.
La sicurezza VBS è disponibile nelle versioni più recenti del sistema operativo Windows, ad esempio Windows 10 e Windows Server 2016. Per utilizzare la sicurezza VBS in una macchina virtuale, la macchina virtuale deve essere compatibile con ESXi 6.7 e versioni successive.
In VMware Host Client, è possibile attivare VBS durante la creazione di una macchina virtuale. In alternativa, è possibile attivare o disattivare VBS per una macchina virtuale esistente.
Prerequisiti
È possibile attivare VBS in una macchina virtuale solo se la convalida TPM dell'host viene eseguita correttamente.
L'utilizzo di CPU Intel per la sicurezza basata sulla virtualizzazione richiede vSphere 6.7 o versioni successive. La macchina virtuale deve essere stata creata utilizzando la versione hardware 14 o successiva e uno dei seguenti sistemi operativi guest supportati:
- Windows 10 (64 bit) o versioni successive
- Windows Server 2016 (a 64 bit) o versioni successive
L'utilizzo di CPU AMD per la sicurezza basata sulla virtualizzazione richiede vSphere 7.0 Update 2 o versione successiva. La macchina virtuale deve essere stata creata utilizzando la versione hardware 19 o successiva e uno dei seguenti sistemi operativi guest supportati:
- Windows 10 (64 bit), versione 1809 o successiva
- Windows Server 2019 (a 64 bit) o versioni successive
Prima di abilitare la sicurezza basata sulla virtualizzazione, assicurarsi di installare le patch più recenti per Windows 10, versione 1809 e Windows Server 2019.
Per ulteriori informazioni sull'attivazione di VBS nelle macchine virtuali delle piattaforme AMD, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/89880.