マルチソケット ESXi ホストでの SGX リモート認証の有効化

Intel^® Software Guard Extensions (Intel^® SGX) は、ハードウェアベースのセキュリティソリューションで、これを使用することでエンクレーブと呼ばれるプライベートメモリ領域で特定のアプリケーションコードとデータを隔離できるようになります。vSphere Client を使用して、複数の CPU ソケットを持つ SGX 対応ホストを Intel Registration Server に登録し、vSGX 対応の仮想マシン内で実行されているアプリケーションのリモート認証を使用します。

vSphere 7.0 以降で、仮想マシンで Virtual Intel^® Software Guard Extensions (vSGX) を有効にし、ワークロードのセキュリティを強化できます。『vSphere の仮想マシン管理』ドキュメントのIntel Software Guard Extensions による仮想マシンのセキュリティ強化を参照してください。また、vSGX 対応の仮想マシンに対してリモート認証を使用できます。Intel SGX リモート認証は、信頼されたリモートエンティティと、認証された安全な通信チャネルを確立するためのセキュリティメカニズムです。SGX エンクレーブを使用して仮想マシンのリモート認証を使用する場合、単一の CPU ソケットを備えたホストでは Intel の登録は必要ありません。

vSphere 8.0 以降では、複数の CPU ソケットを持つホストで実行されている仮想マシンでリモート認証を有効にするには、最初にホストを Intel Registration Server に登録する必要があります。複数の CPU ソケットを持つ SGX 対応ホストが Intel Registration Server に登録されていない場合、リモート認証を必要としない vSGX 対応の仮想マシンのみをパワーオンできます。

SGX 対応の CPU を備えたホストを追加すると、vCenter Server は BIOS によって提供される統合拡張ファームウェアインターフェイス (UEFI) 変数にアクセスし、ホストの現在の登録ステータスを読み取ります。vCenter Server がホストの SGX ステータスに関する情報を取得できるようにするには、ホストのファームウェア起動モードを UEFI モードに設定する必要があります。ESXi ホストの SGX 登録ステータスを表示する方法を参照してください。

ホストの現在の SGX 登録ステータスを変更するには、vSphere Client の登録オプションを使用するか、マイクロコードの更新後に ESXi ホストを再起動して CPU パッケージを追加または交換します。各ホストの再起動後に、vSphere Client を使用してホストの更新された登録ステータスを表示できます。

ホストの SGX 登録ステータス

vSphere Client を使用して、SGX 対応ホストの現在のステータスを表示し、必要な手順を実行してホストを Intel Registration Server に登録します。

SGX 登録ステータス	説明
該当なし	単一の CPU ソケットを持つ SGX 対応ホストでは、リモート認証を有効にするために Intel Registration Server に登録する必要はありません。
不完全	次のいずれかのユースケースで、登録ステータスが不完全になります。新しいホストを vCenter Server インスタンスに追加し、そのホストがまだ登録されていない場合。 Intel SGX Trusted Computing Base (TCB) リカバリを実行するホストファームウェアの更新後。複数の CPU パッケージを持つホストで、CPU パッケージを追加または交換するときに、BIOS セットアップで SGX の工場出荷状態リセットを手動で実行する必要があります。次に、新しく追加されたホストとしてホストを登録する必要があります。 BIOS セットアップで SGX の工場出荷状態リセットを手動で実行する場合は、ホストを再度登録する必要があります。
完全	ホストが Intel Registration Server に正常に登録されました。

SGX 登録ステータス

説明

該当なし

単一の CPU ソケットを持つ SGX 対応ホストでは、リモート認証を有効にするために Intel Registration Server に登録する必要はありません。

不完全

次のいずれかのユースケースで、登録ステータスが不完全になります。

新しいホストを vCenter Server インスタンスに追加し、そのホストがまだ登録されていない場合。
Intel SGX Trusted Computing Base (TCB) リカバリを実行するホストファームウェアの更新後。
複数の CPU パッケージを持つホストで、CPU パッケージを追加または交換するときに、BIOS セットアップで SGX の工場出荷状態リセットを手動で実行する必要があります。次に、新しく追加されたホストとしてホストを登録する必要があります。
BIOS セットアップで SGX の工場出荷状態リセットを手動で実行する場合は、ホストを再度登録する必要があります。

完全

ホストが Intel Registration Server に正常に登録されました。

ESXi ホストの SGX 登録ステータスを表示する方法

vSphere Client を使用して ESXi ホストの現在の SGX 登録ステータスを表示できます。

前提条件

SGX 機能を備えた Intel CPU にホストがインストールされ、SGX が有効になっていることを確認します。
ホストのファームウェア起動モードを UEFI に設定します。

手順

vSphere Client で、SGX 対応ホストに移動します。
[サマリ] タブで、[ハードウェア] カードに移動します。
[SGX] ノードを展開して、[登録ステータス] プロパティの値を表示します。

さまざまな登録ステータスの詳細については、ホストの SGX 登録ステータスを参照してください。

次のタスク

ホストの登録が未完了で、ホストに複数の CPU ソケットがある場合に、vSGX 対応の仮想マシンでリモート認証機能を使用するには、ホストを Intel Registration Server に登録する必要があります。Intel SGX 登録サーバへのマルチソケット ESXi ホストの登録方法を参照してください。

Intel SGX 登録サーバへのマルチソケット ESXi ホストの登録方法

マルチソケットホストで SGX リモート認証機能を使用するには、vSphere Client を使用して、ESXi ホストを Intel 登録サーバに登録します。

Intel SGX 認証メカニズムは、vSGX エンクレーブと外部エンティティ間の信頼を確保します。SGX 機能が有効になっているマルチソケットホストでこの機能を使用するには、ホストを Intel SGX 登録サーバに登録する必要があります。

前提条件

SGX 機能を備えた Intel CPU にホストがインストールされ、SGX が有効になっていることを確認します。
ホストのファームウェア起動モードを UEFI に設定します。

手順

vSphere Client のホーム画面で、[ホーム] > [ホストおよびクラスタ] に移動します。
インベントリで SGX 対応ホストを選択し、[構成] タブをクリックします。
[ハードウェア] で、[SGX] を選択し [登録] をクリックします。

結果

登録操作が正常に完了すると、ホストの登録ステータスが [完了] に変わります。

次のタスク

vSGX が有効な仮想マシンのリモート認証を有効にします。『vSphere の仮想マシン管理』ドキュメントのIntel Software Guard Extensions による仮想マシンのセキュリティ強化を参照してください。