仮想 Trusted Platform Module (vTPM) は、物理的な Trusted Platform Module 2.0 チップをソフトウェアにしたものです。vTPM は、他のすべての仮想デバイスと同様に動作します。
vTPM は、ランダムな番号の生成、証明、キーの生成など、ハードウェア ベースのセキュリティ関連の機能を提供します。vTPM を仮想マシンに追加すると、ゲスト OS はプライベート キーを作成して、保管できるようになります。これらのキーは、ゲスト OS 自体には公開されません。そのため、仮想マシン攻撃の対象領域が狭められます。通常、ゲスト OS の侵害が起きると機密情報が侵害されますが、ゲスト OS で vTPM を有効にしておくと、このリスクを大幅に低減できます。これらのキーは、ゲスト OS が暗号化または署名の目的にのみ使用できます。アタッチされた vTPM を使用することで、クライアントは仮想マシンの ID をリモートで認証し、実行中のソフトウェアを確認できます。
vTPM を利用する場合、ESXi ホストに物理的な Trusted Platform Module (TPM) 2.0 チップは不要です。ただし、ホスト証明を実行する場合は、TPM 2.0 物理チップなどの外部のエンティティが必要です。詳細については、『vSphere のセキュリティ』 ドキュメントを参照してください。
仮想マシンの vTPM の構成方法
仮想マシンから見ると、vTPM は仮想デバイスです。vTPM は、新しい仮想マシンと既存の仮想マシンのどちらにも追加できます。vTPM は、重要な TPM データを保護するために仮想マシンの暗号化に依存しているため、キー プロバイダを構成する必要があります。vTPM を構成すると、仮想マシン ファイルは暗号化されますが、ディスクは暗号化されません。仮想マシンとそのディスクの暗号化は、明示的に追加できます。
vTPM を有効にした仮想マシンをバックアップする場合、バックアップには *.nvram ファイルを含むすべての仮想マシン データが含まれる必要があります。バックアップに *.nvram ファイルが含まれていない場合、vTPM で仮想マシンをリストアすることはできません。また、vTPM が有効になっている仮想マシンの仮想マシン ホーム ファイルは暗号化されるため、リストア時に暗号化キーが使用できることを確認します。
vSphere 8.0 以降では、vTPM を使用して仮想マシンのクローンを作成する際、vTPM を使用する仮想マシンに対して [置き換え] オプションを選択すると、新しい空白の vTPM が表示され、独自のシークレットと ID が取得されます。vTPM のシークレットを置き換えると、ワークロード関連のキーを含むすべてのキーが置き換えられます。ベスト プラクティスとして、キーを置き換える前に、ワークロードで vTPM が使用されなくなったことを確認します。ワークロードで vTPM が使用されている場合、クローン作成された仮想マシンのワークロードが正しく機能しなくなる可能性があります。
vTPM での vSphere の要件
vTPM を使用するには、vSphere 環境が以下の要件を満たす必要があります。
- 仮想マシンの要件:
- EFI ファームウェア
- ハードウェア バージョン 14 以降
- コンポーネントの要件:
- vCenter Server 6.7 以降(Windows 仮想マシンの場合)、vCenter Server 7.0 Update 2 以降(Linux 仮想マシンの場合)。
- 仮想マシン暗号化(仮想マシン ホーム ファイルを暗号化するため)。
- vCenter Server に構成されたキー プロバイダ。詳細については、『vSphere のセキュリティ』 ドキュメントを参照してください。
- ゲスト OS のサポート:
- Linux
- Windows Server 2008 以降
- Windows 7 以降
ハードウェア TPM と仮想 TPM の違い
ハードウェアの Trusted Platform Module (TPM) は、認証情報やキーのセキュアなストレージを提供するために使用されます。vTPM では TPM と同じ機能が実行されますが、実行される内容はソフトウェアによる暗号化コプロセッサ機能です。vTPM では、仮想マシン暗号化を使用して暗号化された .nvram ファイルがセキュアなストレージとして使用されます。
ハードウェア TPM には、承認キー (EK) と呼ばれる事前ロードされたキーが含まれます。EK には、プライベート キーとパブリック キーが含まれます。EK は、TPM に一意の ID を提供します。vTPM の場合、このキーは VMware 認証局 (VMCA) またはサードパーティの認証局 (CA) によって提供されます。vTPM がキーを使用した後、通常は変更されません。これは、変更すると vTPM に保存されている機密情報が無効になるためです。vTPM からサードパーティの CA にアクセスすることはありません。