vTPM(가상의 신뢰할 수 있는 플랫폼 모듈)은 물리적 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 칩의 소프트웨어 기반 표현입니다. vTPM은 기타 가상 디바이스로 작동합니다.
vTPM은 임의 번호 생성, 증명, 키 생성 등과 같은 하드웨어 기반의 보안 관련 기능을 제공합니다. 가상 시스템에 vTPM이 추가되면 게스트 운영 체제가 개인 키를 생성하고 저장할 수 있습니다. 이러한 키는 게스트 운영 체제에 노출되지 않습니다. 따라서 가상 시스템의 공격 표면이 감소합니다. 일반적으로 게스트 운영 체제가 손상되면 암호가 손상되지만 vTPM을 사용하도록 설정하면 이 위험이 크게 줄어듭니다. 이러한 키는 게스트 운영 체제에서 암호화 또는 서명 용도로만 사용할 수 있습니다. vTPM이 연결되어 있으면 클라이언트가 가상 시스템의 ID를 원격으로 검증하고 실행 중인 소프트웨어를 확인할 수 있습니다.
vTPM을 사용하기 위해 ESXi 호스트에 물리적 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 칩이 있을 필요가 없습니다. 하지만 호스트 증명을 수행하려는 경우 TPM 2.0 물리적 칩과 같은 외부 엔티티가 필요합니다. 신뢰할 수 있는 플랫폼 모듈을 통한 ESXi 호스트 보안의 내용을 참조하십시오.
가상 시스템의 vTPM을 구성하는 방법
가상 시스템의 관점에서 vTPM은 가상 디바이스입니다. 새 가상 시스템 또는 기존 가상 시스템에 vTPM을 추가할 수 있습니다. vTPM은 가상 시스템 암호화를 사용하여 중요한 TPM 데이터를 보호하므로 키 제공자를 구성해야 합니다. vTPM을 구성할 때 가상 시스템 파일은 암호화되지만 디스크는 암호화되지 않습니다. 가상 시스템 및 해당 디스크에 대해 명시적으로 암호화를 추가하도록 선택할 수 있습니다.
vTPM을 사용하는 가상 시스템을 백업할 때 백업에는 *.nvram 파일을 포함한 모든 가상 시스템 데이터가 포함되어야 합니다. 백업에 *.nvram 파일이 포함되지 않은 경우 vTPM을 사용하는 가상 시스템을 복원할 수 없습니다. 또한 vTPM이 사용되도록 설정된 가상 시스템의 VM 홈 파일이 암호화되어 있기 때문에 복원 시 암호화 키를 사용할 수 있는지 확인합니다.
vSphere 8.0 이상에서는 vTPM을 사용하여 가상 시스템을 복제할 때 vTPM이 있는 가상 시스템에 대해 바꾸기 옵션을 선택하면 고유한 암호와 ID를 가져오는 비어 있는 새 vTPM으로 시작됩니다. vTPM의 암호를 바꾸면 워크로드 관련 키를 포함한 모든 키가 바뀝니다. 키를 바꾸기 전에 워크로드가 더 이상 vTPM을 사용하지 않는지 확인하는 것이 좋습니다. 그렇게 하지 않으면 복제된 가상 시스템의 워크로드가 올바르게 작동하지 않을 수 있습니다.
vTPM에 대한 vSphere 요구 사항
vTPM을 사용하려면 vSphere 환경이 다음과 같은 요구 사항을 충족해야 합니다.
- 가상 시스템 요구 사항:
- EFI 펌웨어
- 하드웨어 버전 14 이상
- 구성 요소 요구 사항:
- Windows 가상 시스템의 경우 vCenter Server 6.7 이상, Linux 가상 시스템의 경우 vCenter Server 7.0 업데이트 2 이상.
- 가상 시스템 암호화(가상 시스템 홈 파일 암호화)
- vCenter Server에 대해 구성된 키 제공자. vSphere 키 제공자 비교의 내용을 참조하십시오.
- 게스트 운영 체제 지원:
- Linux
- Windows Server 2008 이상
- Windows 7 이상
하드웨어 TPM과 가상 TPM의 차이점
하드웨어 TPM(신뢰할 수 있는 플랫폼 모듈)은 자격 증명 또는 키의 안전한 저장을 위해 사용합니다. vTPM은 TPM과 동일한 기능을 수행하지만 소프트웨어 내에서 암호화 보조 프로세서 기능을 수행합니다. vTPM은 가상 시스템 암호화를 사용하여 암호화된 .nvram 파일을 보안 스토리지로 사용합니다.
하드웨어 TPM에는 EK(승인 키)라고 하는 미리 로드된 키가 포함됩니다. EK에는 개인 키와 공용 키가 있습니다. EK는 TPM에 고유한 ID를 제공합니다. vTPM의 경우 이 키는 VMCA(VMware Certificate Authority) 또는 타사 CA(인증 기관)에서 제공됩니다. vTPM에 키가 사용되는 경우 일반적으로 키가 변경되지 않습니다. 키를 변경할 경우 vTPM에 저장된 중요 정보가 무효화되기 때문입니다. vTPM은 타사 CA에 다시 연결되지 않습니다.