仮想 Trusted Platform Module (vTPM) は、物理的な Trusted Platform Module 2.0 チップをソフトウェアにしたものです。vTPM は、他のすべての仮想デバイスと同様に動作します。
vTPM の概要
vTPM は、ランダムな番号の生成、証明、キーの生成など、ハードウェア ベースのセキュリティ関連の機能を提供します。vTPM を仮想マシンに追加すると、ゲスト OS はプライベート キーを作成して、保管できるようになります。これらのキーは、ゲスト OS 自体には公開されません。そのため、仮想マシン攻撃の対象領域が狭められます。通常、ゲスト OS の侵害が起きると機密情報が侵害されますが、ゲスト OS で vTPM を有効にしておくと、このリスクを大幅に低減できます。これらのキーは、ゲスト OS が暗号化または署名の目的にのみ使用できます。vTPM が接続されている場合、サード パーティはリモートからファームウェアとゲスト OS の ID を証明(検証)できます。
vTPM は、新しい仮想マシンと既存の仮想マシンのどちらにも追加できます。vTPM は、TPM の重要なデータを保護するために仮想マシン暗号化に依存します。vTPM を構成すると、仮想マシン ファイルは暗号化されますが、ディスクは暗号化されません。仮想マシンとそのディスクの暗号化は、明示的に追加できます。
vTPM を有効にした仮想マシンをバックアップする場合、バックアップには *.nvram ファイルを含むすべての仮想マシン データが含まれる必要があります。バックアップに *.nvram ファイルが含まれていない場合、vTPM で仮想マシンをリストアすることはできません。また、vTPM が有効になっている仮想マシンの仮想マシン ホーム ファイルは暗号化されるため、リストア時に暗号化キーが使用できることを確認します。
vTPM を利用する場合、ESXi ホストに物理的な Trusted Platform Module (TPM) 2.0 チップは不要です。ただし、ホスト証明を実行する場合は、TPM 2.0 物理チップなどの外部のエンティティが必要です。詳細については、『vSphere のセキュリティ』 ドキュメントを参照してください。
vTPM の要件
vTPM を使用するには、vSphere 環境が以下の要件を満たす必要があります。
- 仮想マシンの要件:
- EFI ファームウェア
- ハードウェア バージョン 14 以降
- コンポーネントの要件:
- vCenter Server 6.7 以降(Windows 仮想マシンの場合)、vCenter Server 7.0 Update 2 以降(Linux 仮想マシンの場合)。
- 仮想マシン暗号化(仮想マシン ホーム ファイルを暗号化するため)。
- vCenter Server に構成されたキー プロバイダ。詳細については、『vSphere のセキュリティ』 ドキュメントを参照してください。
- ゲスト OS のサポート:
- Linux
- Windows Server 2008 以降
- Windows 7 以降
ハードウェア TPM と仮想 TPM の違い
ハードウェアの Trusted Platform Module (TPM) は、認証情報やキーのセキュアなストレージを提供するために使用されます。vTPM では TPM と同じ機能が実行されますが、実行される内容はソフトウェアによる暗号化コプロセッサ機能です。vTPM では、仮想マシン暗号化を使用して暗号化された .nvram ファイルがセキュアなストレージとして使用されます。
ハードウェア TPM には、承認キー (EK) と呼ばれる事前ロードされたキーが含まれます。EK には、プライベート キーとパブリック キーが含まれます。EK は、TPM に一意の ID を提供します。vTPM の場合、このキーは VMware 認証局 (VMCA) またはサードパーティの認証局 (CA) によって提供されます。vTPM がキーを使用した後、通常は変更されません。これは、変更すると vTPM に保存されている機密情報が無効になるためです。vTPM からサードパーティの CA にアクセスすることはありません。