vSphere consente di configurare le estensioni vSGX (Virtual Intel® Software Guard Extensions) per le macchine virtuali. L'uso di vSGX consente di fornire ulteriore sicurezza ai carichi di lavoro.

Alcune CPU Intel moderne implementano un'estensione di sicurezza denominata Intel® Software Guard Extensions (Intel® SGX). Intel SGX è una tecnologia specifica del processore per gli sviluppatori di applicazioni che cercano di proteggere il codice e i dati selezionati dalla divulgazione o dalla modifica. Intel SGX consente al codice a livello di utente di definire le regioni private della memoria, denominate enclave. I contenuti sono protetti in modo tale che il codice eseguito al di fuori del file root non possa accedere ai contenuti enclave.

vSGX consente alle macchine virtuali di utilizzare la tecnologia Intel SGX, se disponibile sull'hardware. Per utilizzare vSGX, l'host ESXi deve essere installato su una CPU compatibile con SGX e SGX deve essere abilitato nel BIOS dell'host ESXi. È possibile utilizzare vSphere Client per abilitare SGX per una macchina virtuale.

In vSphere 8.0 e versioni successive è possibile utilizzare l'attestazione remota per una macchina virtuale abilitata per vSGX. L'attestazione remota di Intel SGX è un meccanismo di sicurezza che consente di stabilire un canale di comunicazione autenticato e sicuro con un'entità remota attendibile. Per utilizzare l'attestazione remota per le macchine virtuali tramite enclave SGX, gli host con un singolo socket CPU non richiedono la registrazione in Intel. Per abilitare l'attestazione remota in una macchina virtuale in esecuzione in un host con più socket di CPU, è innanzitutto necessario registrare l'host con il server di registrazione Intel. Se un host compatibile con SGX con più socket CPU non è registrato nel server di registrazione Intel, è possibile accendere solo le macchine virtuali abilitate per vSGX che non richiedono l'attestazione remota.

Vedere la documentazione di vCenter Server e gestione degli host per ulteriori informazioni sulla registrazione di un host ESXi multi-socket con il server di registrazione Intel.

Introduzione a vSGX

Le macchine virtuali possono utilizzare la tecnologia Intel SGX, se disponibile nell'hardware.

Requisiti di vSphere per vSGX

Per utilizzare vSGX, l'ambiente di vSphere deve soddisfare i seguenti requisiti:

  • Requisiti delle macchine virtuali:
    • Firmware EFI
    • Hardware versione 17 o successiva
    • Per abilitare l'attestazione remota, versione hardware 20 o successiva
  • Requisiti dei componenti:
    • vCenter Server 7.0 e versioni successive
    • ESXi 7.0 e versioni successive
    • L'host ESXi deve essere installato su una CPU compatibile con SGX e SGX deve essere abilitato nel BIOS dell'host di ESXi.
    • Per abilitare l'attestazione remota per l'host, registrare l'host con il server di registrazione Intel. In questo modo, la macchina virtuale in esecuzione nell'host può utilizzare l'attestazione remota. Per ulteriori informazioni su come registrare un ESXi multi-socket, vedere la documentazione di vCenter Server e gestione degli host.
  • Supporto del sistema operativo guest:
    • Linux
    • Windows Server 2016 (a 64 bit) e versioni successive
    • Windows 10 (a 64 bit) e versioni successive

Hardware Intel supportato per vSGX

Per l'hardware Intel supportato per vSGX, consultare la Guida alla compatibilità di vSphere disponibile in https://www.vmware.com/resources/compatibility/search.php.

Per abilitare SGX nell'host ESXi potrebbe essere necessario disattivare l'hyperthreading in determinate CPU. Per ulteriori informazioni, vedere l'articolo della KB VMware disponibile su https://kb.vmware.com/s/article/71367.

Funzionalità VMware non supportate in vSGX

Le seguenti funzionalità non sono supportate in una macchina virtuale quando vSGX è abilitato:

  • Migrazione di vMotion/DRS
  • Sospensione e ripresa della macchina virtuale
  • Snapshot delle macchine virtuali (gli snapshot delle macchine virtuali sono supportati se non si crea uno snapshot della memoria della macchina virtuale).
  • Fault Tolerance
  • Integrità del guest (GI, fondamento della piattaforma per VMware AppDefense™ 1.0)
Nota:

Queste funzionalità VMware non sono supportate a causa delle funzionalità dell'architettura Intel SGX. Non sono il risultato di una mancanza di VMware.

Abilitazione di vSGX in una macchina virtuale

È possibile abilitare vSGX in una macchina virtuale nello stesso momento in cui si crea una macchina virtuale.

Prerequisiti

Vedere Requisiti di vSphere per vSGX.

Procedura

  1. Connettersi a vCenter Server utilizzando vSphere Client.
  2. Selezionare un oggetto nell'inventario corrispondente a un oggetto principale valido di una macchina virtuale, ad esempio un host o un cluster ESXi.
  3. Fare clic con il pulsante destro del mouse sull'oggetto, selezionare Nuova macchina virtuale e seguire le istruzioni per creare una macchina virtuale.
  4. Nella pagina Personalizza hardware fare clic sulla scheda Hardware virtuale ed espandere Dispositivi di sicurezza.
  5. Per abilitare SGX, selezionare la casella di controllo Abilita.
  6. Nella casella di testo Dimensioni della cache della pagina enclave (MB), immettere le dimensioni della cache in MB.
    Nota: Le dimensioni della cache della pagina enclave devono essere multiple di 2 MB.
  7. Per impedire che la macchina virtuale attivi host che non supportano l'attestazione remota SGX, ad esempio host SGX multi-socket non registrati, selezionare la casella di controllo Rimuovi attestazione.
  8. Nel menu a discesa Avvia configurazione controllo, selezionare la modalità appropriata.
    Opzione Azione
    Sbloccato Questa opzione abilita l'avvio della configurazione Enclave del sistema operativo guest.
    Bloccato Questa opzione consente di configurare il pulsante di avvio.
    1. Selezionare l'opzione Avvia hash chiave pubblica Enclave.
    2. Per utilizzare una delle chiavi pubbliche configurate nell'host, selezionare Usa da host e, dal menu a discesa, selezionare un hash della chiave pubblica.
    3. Per immettere manualmente la chiave pubblica, selezionare Immetti manualmente e immettere una chiave hash SHA256 (64) valida.
  9. Fare clic su OK.

Abilitazione di vSGX in una macchina virtuale esistente

È possibile abilitare vSGX in una macchina virtuale esistente.

Prerequisiti

Vedere Requisiti di vSphere per vSGX.

Procedura

  1. Connettersi a vCenter Server utilizzando vSphere Client.
  2. Fare clic con il pulsante destro del mouse sulla macchina virtuale nell'inventario che si desidera modificare e selezionare Modifica impostazioni.
  3. Nella scheda Hardware virtuale, espandere Dispositivi di sicurezza.
  4. Per abilitare SGX, selezionare la casella di controllo Abilita.
  5. Nella casella di testo Dimensioni della cache della pagina enclave (MB), immettere le dimensioni della cache in MB.
    Nota: Le dimensioni della cache della pagina enclave devono essere multiple di 2 MB.
  6. Per impedire che la macchina virtuale attivi host che non supportano l'attestazione remota SGX, ad esempio host SGX multi-socket non registrati, selezionare la casella di controllo Rimuovi attestazione.
  7. Nel menu a discesa Avvia configurazione controllo, selezionare la modalità appropriata.
    Opzione Azione
    Sbloccato Questa opzione abilita l'avvio della configurazione Enclave del sistema operativo guest.
    Bloccato Questa opzione consente di configurare il pulsante di avvio.
    1. Selezionare l'opzione Avvia hash chiave pubblica Enclave.
    2. Per utilizzare una delle chiavi pubbliche configurate nell'host, selezionare Usa da host e, dal menu a discesa, selezionare un hash della chiave pubblica.
    3. Per immettere manualmente la chiave pubblica, selezionare Immetti manualmente e immettere una chiave hash SHA256 (64) valida.
  8. Fare clic su OK.

Rimozione di vSGX da una macchina virtuale

È possibile rimuovere vSGX da una macchina virtuale.

Procedura

  1. Connettersi a vCenter Server utilizzando vSphere Client.
  2. Fare clic con il pulsante destro del mouse sulla macchina virtuale nell'inventario che si desidera modificare e selezionare Modifica impostazioni.
  3. Nella finestra di dialogo Modifica impostazioni sotto Dispositivi di sicurezza deselezionare la casella di controllo Abilita per SGX.
  4. Fare clic su OK.
    Verificare che la voce vSGX non venga più visualizzata nella scheda Riepilogo della macchina virtuale nel riquadro Hardware della macchina virtuale.