Intel® Software Guard Extensions (Intel® SGX) è una soluzione di sicurezza basata su hardware che consente di isolare il codice e i dati specifici dell'applicazione in regioni di memoria private denominate enclave. Utilizzare vSphere Client per registrare gli host compatibili con SGX con più socket di CPU nel server di registrazione Intel e utilizzare l'attestazione remota per le applicazioni in esecuzione nelle macchine virtuali abilitate per vSGX.

A partire da vSphere 7.0, è possibile abilitare Virtual Intel® Software Guard Extensions (vSGX) nelle macchine virtuali e fornire ulteriore sicurezza ai carichi di lavoro. Vedere Protezione delle macchine virtuali con Intel Software Guard Extensions nella documentazione Amministrazione delle macchine virtuali vSphere. È inoltre possibile utilizzare l'attestazione remota per le macchine virtuali abilitate per vSGX. L'attestazione remota di Intel SGX è un meccanismo di sicurezza che consente di stabilire un canale di comunicazione autenticato e sicuro con un'entità remota attendibile. Per utilizzare l'attestazione remota per le macchine virtuali tramite enclave SGX, gli host con un singolo socket CPU non richiedono la registrazione in Intel.

A partire da vSphere 8.0, per abilitare l'attestazione remota in una macchina virtuale in esecuzione in un host con più socket CPU, è innanzitutto necessario registrare l'host nel server di registrazione Intel. Se un host compatibile con SGX con più socket CPU non è registrato nel server di registrazione Intel, è possibile accendere solo le macchine virtuali abilitate per vSGX che non richiedono l'attestazione remota.

Quando si aggiunge un host con CPU compatibili con SGX, vCenter Server accede alle variabili UEFI (Unified Extensible Firmware Interface) fornite dal BIOS e legge lo stato di registrazione corrente dell'host. Per abilitare vCenter Server per recuperare informazioni sullo stato di SGX di un host, è necessario impostare la modalità di avvio del firmware dell'host sulla modalità UEFI. Vedere Come visualizzare lo stato di registrazione SGX di un host ESXi.

È possibile modificare lo stato di registrazione di SGX corrente dell'host utilizzando le opzioni di registrazione in vSphere Client o riavviando l'host ESXi dopo gli aggiornamenti del microcodice e aggiungendo o sostituendo un pacchetto CPU. Dopo il riavvio di ogni host, è possibile visualizzare lo stato di registrazione aggiornato dell'host utilizzando vSphere Client.

Stati di registrazione di SGX di un host

È possibile visualizzare lo stato corrente degli host compatibili con SGX utilizzando vSphere Client ed eseguire i passaggi necessari per registrare gli host nel server di registrazione Intel.

Stato di registrazione di SGX

Descrizione

Non applicabile

Gli host compatibili con SGX con un singolo socket CPU non richiedono la registrazione nel server di registrazione Intel per abilitare l'attestazione remota.

Incompleto

Lo stato di registrazione non è completo in uno dei seguenti casi d'uso:

  • Quando si aggiunge un nuovo host in un'istanza di vCenter Server e l'host non è ancora registrato.

  • Dopo un aggiornamento del firmware dell'host che esegue un ripristino di Intel SGX Trusted Computing Base (TCB).

  • Per gli host che dispongono di più pacchetti CPU, quando viene aggiunto o sostituito un pacchetto CPU, è necessario eseguire manualmente un ripristino delle impostazioni predefinite di SGX durante la configurazione del BIOS. L'host deve quindi essere registrato come se fosse un host appena aggiunto.

  • Quando si esegue manualmente un ripristino delle impostazioni predefinite di SGX nella configurazione del BIOS, è necessario registrare nuovamente l'host.

Completo

L'host è stato registrato correttamente con il server di registrazione Intel.

Come visualizzare lo stato di registrazione SGX di un host ESXi

Utilizzando il vSphere Client, è possibile visualizzare lo stato di registrazione SGX corrente di un host ESXi.

Prerequisiti

  • Assicurarsi che l'host sia installato in una CPU Intel con funzionalità SGX e che SGX sia abilitato.

  • Impostare la modalità di avvio del firmware dell'host su UEFI.

Procedura

  1. In vSphere Client, passare a un host compatibile con SGX.
  2. Nella scheda Riepilogo, passare alla scheda Hardware.
  3. Espandere il nodo SGX per visualizzare il valore della proprietà Stato registrazione.

    Per ulteriori informazioni sui diversi stati di registrazione, vedere Stati di registrazione di SGX di un host.

Operazioni successive

Per utilizzare la funzionalità di attestazione remota per le macchine virtuali abilitate per vSGX, è necessario registrare l'host nel server di registrazione Intel se la registrazione dell'host non è completa e l'host ha più socket di CPU. Vedere Come registrare un host ESXi multi-socket con il server di registrazione Intel SGX.

Come registrare un host ESXi multi-socket con il server di registrazione Intel SGX

Per utilizzare la funzionalità di attestazione remota SGX per un host multi-socket, registrare l'host ESXi nel server di registrazione Intel utilizzando vSphere Client.

Il meccanismo di attestazione di Intel SGX garantisce l'attendibilità tra l'enclave vSGX e un'entità esterna. Per utilizzare questa funzionalità in un host multi-socket con funzionalità SGX abilitate, è necessario registrare l'host nel server di registrazione Intel SGX.

Prerequisiti

  • Assicurarsi che l'host sia installato in una CPU Intel con funzionalità SGX e che SGX sia abilitato.

  • Impostare la modalità di avvio del firmware dell'host su UEFI.

Procedura

  1. Nella home page di vSphere Client, passare a Home > Host e cluster.
  2. Selezionare nell'inventario un host compatibile con SGX e fare clic sulla scheda Configura.
  3. In Hardware, selezionare SGX e fare clic su Registra.

risultati

Una volta completata correttamente l'operazione di registrazione, lo stato di registrazione dell'host diventa Completato.

Operazioni successive

Abilitare l'attestazione remota per una macchina virtuale abilitata per vSGX. Vedere Protezione delle macchine virtuali con Intel Software Guard Extensions nella documentazione Amministrazione delle macchine virtuali vSphere.