仮想 Trusted Platform Module (vTPM) 機能を使用して、仮想マシンに TPM 2.0 仮想暗号化プロセッサを追加できます。
仮想 Trusted Platform Module の概要
vTPM は、暗号化コプロセッサの機能をソフトウェアによって実行します。vTPM を仮想マシンに追加すると、ゲスト OS はプライベート キーを作成して、保管できるようになります。これらのキーは、ゲスト OS 自体には公開されません。そのため、仮想マシン攻撃の対象領域が狭められます。通常、ゲスト OS の侵害が起きると機密情報が侵害されますが、ゲスト OS で vTPM を有効にしておくと、このリスクを大幅に低減できます。これらのキーは、ゲスト OS が暗号化または署名の目的にのみ使用できます。vTPM が接続されている場合、サード パーティはリモートからファームウェアとゲスト OS の ID を証明(検証)できます。
vTPM は、新しい仮想マシンと既存の仮想マシンのどちらにも追加できます。vTPM は、TPM の重要なデータを保護するために仮想マシン暗号化に依存します。vTPM を構成すると、仮想マシン暗号化によって仮想マシンのファイルは自動的に暗号化されますが、ディスクは暗号化されません。仮想マシンとそのディスクの暗号化は、明示的に追加できます。
vTPM を有効にした仮想マシンをバックアップすることもできます。このバックアップには、*.nvram ファイルを含むすべての仮想マシン データを含める必要があります。バックアップに*.nvram ファイルが含まれていない場合、vTPM で仮想マシンをリストアすることはできません。また、vTPM が有効になっている仮想マシンの仮想マシン ホーム ファイルは暗号化されるため、リストア時に暗号化キーが使用できることを確認します。
vTPM を利用する場合、ESXiホストに物理的な Trusted Platform Module (TPM) 2.0 チップは不要です。ただし、ホスト証明を実行する場合は、TPM 2.0 物理チップなどの外部のエンティティが必要です。詳細については、『vSphere のセキュリティ』 ドキュメントを参照してください。
vTPM の要件
vTPM を使用するには、vSphere 環境が以下の要件を満たす必要があります。
- 仮想マシンの要件:
- EFI ファームウェア
- ハードウェア バージョン 14
- コンポーネントの要件:
- vCenter Server6.7。
- 仮想マシン暗号化(仮想マシン ホーム ファイルを暗号化するため)。
- vCenter Server向けに設定されたキー管理サーバ (KMS)(仮想マシン暗号化は KMS に依存します)。詳細については、『vSphere のセキュリティ』 ドキュメントを参照してください。
- ゲスト OS のサポート:
- Windows Server 2016(64 ビット)
- Windows 10(64 ビット)
ハードウェア TPM と仮想 TPM の違い
ハードウェアの Trusted Platform Module (TPM) は、認証情報やキーのセキュアなストレージを提供する暗号化のコプロセッサとして使用されます。vTPM では TPM と同じ機能が実行されますが、実行される内容はソフトウェアによる暗号化コプロセッサ機能です。vTPM では、仮想マシン暗号化を使用して暗号化された .nvram ファイルがセキュアなストレージとして使用されます。
ハードウェア TPM には、承認キー (EK) と呼ばれる事前ロードされたキーが含まれます。EK には、プライベート キーとパブリック キーが含まれます。EK は、TPM に一意の ID を提供します。vTPM の場合、このキーは VMware 認証局 (VMCA) またはサードパーティの認証局 (CA) によって提供されます。一度でも vTPM によって使用されたキーは、通常、変更されません。これは、変更すると vTPM に保存されている機密情報が無効になるためです。vTPM から CA にアクセスすることはありません。