仮想マシンで実行するゲスト OS は、物理システムと同じセキュリティ リスクに対して脆弱です。仮想環境内のセキュリティを向上させるために、ESXi ホストに仮想 Trusted Platform Module (vTPM) を追加することができます。また、最新の Windows 10 および Windows Server 2016 オペレーティング システムを実行する仮想マシンでは、仮想化ベース セキュリティ (VBS) を有効にすることもできます。
VMware Host Client での仮想 TPM の使用
Trusted Platform Module (TPM) は、プライベート キーや OS シークレットなどのホスト固有の機密情報を格納する特別なチップです。TPM チップは、暗号化タスクの実行やプラットフォームの一貫性の証明にも使用されます。
仮想 TPM デバイスは、TPM 機能のソフトウェア エミュレーションです。仮想 TPM (vTPM) デバイスは、環境内の仮想マシンに追加できます。vTPM を実装する場合、ホストに物理 TPM チップは不要です。ESXi は vTPM デバイスを使用することで、vSphere 環境で TPM の機能を発揮します。
vTPM は、Windows 10 または Windows Server 2016 オペレーティング システムがインストールされた仮想マシンで利用できます。仮想マシンのハードウェア バージョンが 14 以降である必要があります。
仮想 TPM デバイスは、vCenter Server インスタンス内の仮想マシンにのみ追加できます。詳細については、『vSphere のセキュリティ』ドキュメントを参照してください。
VMware Host Client では、仮想マシンから仮想 TPM デバイスを削除することのみが可能です。
VMware Host Client での VBS の使用
仮想化ベース セキュリティ (VBS) では、Microsoft Hyper-V ベースの仮想化テクノロジーを使用して、隔離された仮想化環境に Windows OS のコア サービスを分離します。この分離によって環境内の主要なサービスを操作できなくなるため、保護のレベルが強化されます。
仮想マシンで VBS を有効にすると、VBS 機能のために Windows が必要とする仮想ハードウェアが自動的に有効になります。VBS を有効にすると、仮想マシンで Hyper-V のバリアントが起動し、Hyper-V のルート パーティション内で Windows が実行を開始します。
VBS は、Windows 10、Windows Server 2016 などの最新バージョンの Windows OS で使用可能です。VBS を仮想マシンで使用するには、仮想マシンの互換性が ESXi 6.7 以降である必要があります。