Il sistema operativo guest eseguito nella macchina virtuale è vulnerabile agli stessi rischi per la sicurezza di qualsiasi sistema fisico.

Per incrementare la sicurezza nell'ambiente virtuale, è possibile aggiungere un'istanza di Trusted Platform Module virtuale (vTPM) ai propri host ESXi. È inoltre possibile abilitare la sicurezza basata sulla virtualizzazione (VBS) per le macchine virtuali che eseguono i sistemi operativi Windows 10 e Windows Server 2016 più recenti. È possibile offrire una protezione aggiuntiva ai carichi di lavoro utilizzando Virtual Intel® Software Guard Extensions (vSGX) per le macchine virtuali.

Attivazione di vSGX in una macchina virtuale in VMware Host Client

Per proteggere i contenuti Enclave dalla divulgazione e dalle modifiche, è possibile attivare vSGX in una macchina virtuale in VMware Host Client.

Protezione delle macchine virtuali con vSGX
vSphere consente di configurare vSGX per le macchine virtuali. Alcune CPU Intel moderne implementano un'estensione di sicurezza denominata Intel ® Software Guard Extension (Intel ® SGX). Intel SGX consente al codice a livello di utente di definire le regioni private della memoria, denominate enclave. Intel SGX protegge i contenuti Enclave dalla divulgazione o dalla modifica in modo tale che il codice eseguito al di fuori di Enclave non possa accedervi.
vSGX consente alle macchine virtuali di utilizzare la tecnologia Intel SGX, se disponibile sull'hardware. Per utilizzare vSGX, l'host ESXi deve essere installato su una CPU compatibile con SGX e SGX deve essere abilitato nel BIOS dell'host ESXi. È possibile utilizzare vSphere Client per abilitare SGX per una macchina virtuale. Per ulteriori informazioni, vedere la documentazione di Sicurezza di vSphere.

Alcune operazioni e funzionalità non sono compatibili con SGX.

  • Migrazione con Storage vMotion
  • Sospensione o ripresa della macchina virtuale
  • Creazione di uno snapshot della macchina virtuale
  • Fault Tolerance
  • Abilitazione dell'integrità del guest (GI, platform foundation for VMware AppDefense 1.0)

Prerequisiti

  • Spegnere la macchina virtuale.

  • Verificare che la macchina virtuale utilizzi il firmware EFI.
  • Verificare che la versione dell'host ESXi sia 7.0 o successiva.
  • Verificare che il sistema operativo guest nella macchina virtuale sia Linux, Windows 10 (64 bit) o versioni successive oppure Windows Server 2016 (64 bit) o versioni successive.
  • Verificare di disporre del privilegio Macchina virtuale.Configurazione.Modifica impostazioni dispositivo sulla macchina virtuale.
  • Verificare che l'host ESXi sia installato su una CPU compatibile con SGX e che SGX sia abilitato nel BIOS dell'host ESXi. Per informazioni sulle CPU supportate, vedere https://kb.vmware.com/s/article/71367.

Procedura

  1. Nell'inventario di VMware Host Client, fare clic su Macchine virtuali.
  2. Fare clic con il pulsante destro del mouse su una macchina virtuale nell'elenco e selezionare Modifica impostazioni dal menu a comparsa.
  3. Nella scheda Hardware virtuale, espandere Dispositivi di sicurezza.
  4. Selezionare la casella di controllo Abilita.
  5. In Dimensioni cache pagina Enclave immettere un nuovo valore nella casella di testo e selezionare le dimensioni in MB o GB dal menu a discesa.
    Nota: Le dimensioni della cache della pagina Enclave devono essere un multiplo di 2.
  6. Nel menu a discesa Avvia configurazione controllo, selezionare la modalità appropriata.
    Opzione Azione
    Bloccato Attiva l'avvio della configurazione di Enclave.

    In Avvia hash chiave pubblica Enclave immettere un hash SHA256 valido.

    La chiave hash SHA256 deve contenere 64 caratteri.
    Sbloccato Attiva l'avvio della configurazione di Enclave del sistema operativo guest.
  7. Fare clic su Salva.

Disattivazione di vSGX in una macchina virtuale in VMware Host Client

Per disattivare vSGX in una macchina virtuale, è possibile utilizzare VMware Host Client.

Procedura

  1. Nell'inventario di VMware Host Client, fare clic su Macchine virtuali.
  2. Fare clic con il pulsante destro del mouse su una macchina virtuale nell'elenco e selezionare Modifica impostazioni dal menu a comparsa.
  3. Nella scheda Hardware virtuale, espandere Dispositivi di sicurezza.
  4. Deselezionare la casella di controllo Abilita e fare clic su Salva.

risultati

vSGX è disattivato nella macchina virtuale.

Rimozione di un dispositivo vTPM da una macchina virtuale in VMware Host Client

La tecnologia Trusted Platform Module (TPM) è costituita da un chip specializzato che archivia informazioni riservate specifiche dell'host, ad esempio chiavi private e segreti del sistema operativo. Il chip TPM viene utilizzato anche per eseguire le attività crittografiche e verificare l'integrità della piattaforma. In VMware Host Client è possibile rimuovere il dispositivo vTPM solo da una macchina virtuale.

Il dispositivo TPM virtuale è un'emulazione software della funzionalità TPM. È possibile aggiungere un dispositivo TPM virtuale (vTPM) alle macchine virtuali presenti nell'ambiente in uso. L'implementazione di vTPM non richiede un chip TPM fisico nell'host. ESXi utilizza il dispositivo vTPM per applicare la funzionalità TPM nell'ambiente vSphere.

vTPM è disponibile per macchine virtuali con sistemi operativi Windows 10 e Windows Server 2016. La versione dell'hardware della macchina virtuale deve essere 14 o successiva.

È possibile aggiungere un dispositivo TPM virtuale a una macchina virtuale solo nell'istanza di vCenter Server. Per ulteriori informazioni, vedere la documentazione di Sicurezza di vSphere.

In VMware Host Client è possibile solo rimuovere il dispositivo TPM virtuale da una macchina virtuale.

Prerequisiti

  • La versione dell'hardware della macchina virtuale deve essere 14 o successiva.
  • Il sistema operativo guest deve essere Windows 10 o Windows Server 2016 e versioni successive.
  • È necessario che la macchina virtuale sia spenta.

Procedura

  1. Fare clic su Macchina virtuali nell'inventario di VMware Host Client.
  2. Fare clic con il pulsante destro del mouse su una macchina virtuale nell'elenco e selezionare Modifica impostazioni dal menu a comparsa.
  3. Nella scheda Hardware virtuale individuare il dispositivo TPM e fare clic sull'icona Rimuovi.
    Il dispositivo TPM virtuale verrà rimosso dalla macchina virtuale.
  4. Fare clic su Salva per chiudere la procedura guidata.

Attivare o disattivare la sicurezza basata sulla virtualizzazione in una macchina virtuale esistente in VMware Host Client

La sicurezza basata sulla virtualizzazione (VBS) utilizza la tecnologia di virtualizzazione basata su Microsoft Hyper-V per isolare i servizi principali del sistema operativo Windows in un ambiente virtualizzato separato. Questo isolamento garantisce un livello di protezione aggiuntivo, perché rende impossibile manipolare i servizi principali nell'ambiente in uso.

È possibile modificare il livello di sicurezza di una macchina virtuale abilitando o disabilitando la sicurezza basata sulla virtualizzazione (VBS) Microsoft in macchine virtuali esistenti per i sistemi operativi guest Windows supportati.

Se si attiva VBS in una macchina virtuale, viene automaticamente attivato l'hardware virtuale richiesto da Windows per la funzionalità VBS. Quando si abilita la tecnologia VBS, nella macchina virtuale viene avviata una variante di Hyper-V e Windows inizia a essere eseguito all'interno della partizione root Hyper-V.

La sicurezza VBS è disponibile nelle versioni più recenti del sistema operativo Windows, ad esempio Windows 10 e Windows Server 2016. Per utilizzare la sicurezza VBS in una macchina virtuale, la macchina virtuale deve essere compatibile con ESXi 6.7 e versioni successive.

In VMware Host Client, è possibile attivare VBS durante la creazione di una macchina virtuale. In alternativa, è possibile attivare o disattivare VBS per una macchina virtuale esistente.

Prerequisiti

La configurazione della sicurezza basata sulla virtualizzazione è un processo che prevede innanzitutto l'attivazione della sicurezza basata sulla virtualizzazione nella macchina virtuale e quindi l'attivazione della sicurezza basata sulla virtualizzazione nel sistema operativo guest.
Nota: Le nuove macchine virtuali configurate per Windows 10, Windows Server 2016 e Windows Server 2019 nelle versioni hardware precedenti alla 14 vengono create utilizzando il BIOS legacy per impostazione predefinita. Se si modifica il tipo di firmware della macchina virtuale da BIOS legacy a UEFI, è necessario reinstallare il sistema operativo guest.

È possibile attivare VBS in una macchina virtuale solo se la convalida TPM dell'host viene eseguita correttamente.

L'utilizzo di CPU Intel per la sicurezza basata sulla virtualizzazione richiede vSphere 6.7 o versioni successive. La macchina virtuale deve essere stata creata utilizzando la versione hardware 14 o successiva e uno dei seguenti sistemi operativi guest supportati:

  • Windows 10 (64 bit) o versioni successive
  • Windows Server 2016 (a 64 bit) o versioni successive

L'utilizzo di CPU AMD per la sicurezza basata sulla virtualizzazione richiede vSphere 7.0 Update 2 o versione successiva. La macchina virtuale deve essere stata creata utilizzando la versione hardware 19 o successiva e uno dei seguenti sistemi operativi guest supportati:

  • Windows 10 (64 bit), versione 1809 o successiva
  • Windows Server 2019 (a 64 bit) o versioni successive

Prima di abilitare la sicurezza basata sulla virtualizzazione, assicurarsi di installare le patch più recenti per Windows 10, versione 1809 e Windows Server 2019.

Per ulteriori informazioni sull'attivazione di VBS nelle macchine virtuali delle piattaforme AMD, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/89880.

Procedura

  1. Fare clic su Macchina virtuali nell'inventario di VMware Host Client.
  2. Fare clic con il pulsante destro del mouse su una macchina virtuale nell'elenco e selezionare Modifica impostazioni dal menu a comparsa.
  3. Nella scheda Opzioni della macchina virtuale, attivare o disattivare VBS per la macchina virtuale.
    • Per attivare VBS per la macchina virtuale, selezionare la casella di controllo Abilita sicurezza basata sulla virtualizzazione.
    • Per disattivare VBS per la macchina virtuale, deselezionare la casella di controllo Abilita sicurezza basata sulla virtualizzazione.
    Quando si attiva VBS, nella procedura guidata vengono automaticamente selezionate diverse opzioni, che vengono quindi visualizzate in grigio e non sono disponibili.
  4. Fare clic su Salva per chiudere la procedura guidata.