Intel Software Guard Extensions를 사용하여 가상 시스템 보호

vSphere에서는 가상 시스템에 대해 가상 Intel^® Software Guard Extensions(vSGX)를 구성할 수 있습니다. vSGX를 사용하면 워크로드에 추가적인 보안을 제공할 수 있습니다.

일부 현대의 Intel CPU는 Intel^® SGX(Intel^® Software Guard Extensions)라고 하는 보안 확장을 구현합니다. Intel SGX는 공개 또는 수정으로부터 특정 코드와 데이터를 보호하려는 애플리케이션 개발자들을 위한 프로세서별 기술입니다. Intel SGX를 사용하면 사용자 수준 코드에서 Enclave라고 하는 메모리의 개인 영역을 정의할 수 있습니다. Enclave 컨텐츠는 Enclave 외부에서 실행되는 코드가 Enclave 컨텐츠에 액세스할 수 없도록 하는 방식으로 보호됩니다.

가상 시스템은 하드웨어에서 사용할 수 있는 경우 vSGX를 통해 Intel SGX 기술을 사용할 수 있습니다. vSGX를 사용하려면 SGX 지원 CPU에 ESXi 호스트를 설치해야 하며 ESXi 호스트의 BIOS에서 SGX를 사용하도록 설정해야 합니다. vSphere Client를 사용하여 가상 시스템에 대해 SGX를 사용하도록 설정할 수 있습니다.

vSphere 8.0 이상에서는 vSGX 지원 가상 시스템에 대한 원격 증명을 사용할 수 있습니다. Intel SGX 원격 증명은 신뢰할 수 있는 원격 엔티티를 사용하여 인증되고 안전한 통신 채널을 설정할 수 있게 해 주는 보안 메커니즘입니다. 단일 CPU 소켓이 있는 호스트는 SGX Enclave를 사용하는 가상 시스템에 대해 원격 증명을 사용하기 위해 Intel에 등록할 필요가 없습니다. CPU 소켓이 여러 개 있는 호스트에서 실행되는 가상 시스템에서 원격 증명을 사용하도록 설정하려면 먼저 호스트를 Intel Registration Server에 등록해야 합니다. CPU 소켓이 여러 개 있는 SGX 지원 호스트가 Intel Registration Server에 등록되지 않은 경우 원격 증명이 필요하지 않은 vSGX 지원 가상 시스템의 전원만 켤 수 있습니다.

Intel Registration Server에 다중 소켓 "vCenter Server 및 호스트 관리" 호스트를 등록하는 방법에 대한 자세한 내용은 ESXi 설명서를 참조하십시오.

vSGX 시작

가상 시스템은 하드웨어에서 사용할 수 있는 경우 Intel SGX 기술을 사용할 수 있습니다.

vSGX에 대한 vSphere 요구 사항

vSGX를 사용하려면 vSphere 환경이 다음과 같은 요구 사항을 충족해야 합니다.

가상 시스템 요구 사항:
- EFI 펌웨어
- 하드웨어 버전 17 이상
- 원격 증명을 사용하도록 설정하려는 경우, 하드웨어 버전 20 이상
구성 요소 요구 사항:
- vCenter Server 7.0 이상
- ESXi 7.0 이상
- SGX 지원 CPU에 ESXi 호스트를 설치해야 하며 ESXi 호스트의 BIOS에서 SGX를 사용하도록 설정해야 합니다.
- 호스트에 대해 원격 증명을 사용하도록 설정하려면 호스트를 Intel Registration Server에 등록합니다. 이렇게 하면 호스트에서 실행 중인 가상 시스템이 원격 증명을 사용할 수 있습니다. 다중 소켓 ESXi를 등록하는 방법에 대한 자세한 내용은 "vCenter Server 및 호스트 관리" 설명서를 참조하십시오.
게스트 운영 체제 지원:
- Linux
- Windows Server 2016(64비트) 이상
- Windows 10(64비트) 이상

vSGX에 대해 지원되는 Intel 하드웨어

vSGX에 대해 지원되는 Intel 하드웨어는 https://www.vmware.com/resources/compatibility/search.php에서 vSphere 호환성 가이드를 참조하십시오.

ESXi 호스트에서 SGX를 사용하도록 설정하려면 특정 CPU에서 하이퍼스레딩을 꺼야 할 수 있습니다. 자세한 내용은 VMware KB 문서(https://kb.vmware.com/s/article/71367)를 참조하십시오.

vSGX에서 지원되지 않는 VMware 기능

vSGX가 사용되도록 설정된 경우 다음과 같은 기능은 가상 시스템에서 지원되지 않습니다.

vMotion/DRS 마이그레이션
가상 시스템 일시 중단 및 재개
가상 시스템 스냅샷(가상 시스템의 메모리에 대한 스냅샷을 생성하지 않는 경우에는 가상 시스템 스냅샷이 지원됩니다.)
Fault Tolerance
게스트 무결성(GI, VMware AppDefense™ 1.0의 플랫폼 기반)

참고:

이러한 VMware 기능은 Intel SGX 아키텍처가 작동하는 방식으로 인해 지원되지 않습니다. VMware 결함으로 인한 결과가 아닙니다.

가상 시스템에서 vSGX 사용

가상 시스템을 생성할 때 동시에 가상 시스템에서 vSGX를 사용하도록 설정할 수 있습니다.

사전 요구 사항

vSGX에 대한 vSphere 요구 사항의 내용을 참조하십시오.

프로시저

vSphere Client를 사용하여 vCenter Server에 연결합니다.
ESXi 호스트 또는 클러스터 같이 가상 시스템의 올바른 상위 개체인 인벤토리의 개체를 선택합니다.
개체를 마우스 오른쪽 버튼으로 클릭하고 새 가상 시스템을 선택한 다음 프롬프트에 따라 가상 시스템을 생성합니다.
하드웨어 사용자 지정 페이지에서 가상 하드웨어 탭을 클릭하고 보안 디바이스를 확장합니다.
SGX를 사용하도록 설정하려면 사용 확인란을 선택합니다.
Enclave 페이지 캐시 크기(MB) 텍스트 상자에 캐시 크기를 MB 단위로 입력합니다.

참고: Enclave 페이지 캐시 크기는 2MB의 배수여야 합니다.
가상 시스템이 SGX 원격 증명을 지원하지 않는 호스트(예: 등록되지 않은 다중 소켓 SGX 호스트)의 전원을 켜지 못하게 하려면 원격 증명 확인란을 선택합니다.

제어 구성 시작 드롭다운 메뉴에서 적절한 모드를 선택합니다.

옵션	작업
잠금 해제됨	이 옵션을 사용하면 게스트 운영 체제의 Enclave 시작 구성이 가능합니다.
잠김	이 옵션을 통해 Enclave 시작을 구성할 수 있습니다. Enclave 공용 키 해시 시작 옵션을 선택합니다. 호스트에 구성된 공용 키 중 하나를 사용하려면 호스트에서 사용을 선택하고 드롭다운 메뉴에서 공용 키 해시를 선택합니다. 공용 키를 수동으로 입력하려면 직접 입력을 선택하고 유효한 SHA256 해시(64) 문자 키를 입력합니다.

옵션

작업

잠금 해제됨

이 옵션을 사용하면 게스트 운영 체제의 Enclave 시작 구성이 가능합니다.

잠김

이 옵션을 통해 Enclave 시작을 구성할 수 있습니다.

Enclave 공용 키 해시 시작 옵션을 선택합니다.
호스트에 구성된 공용 키 중 하나를 사용하려면 호스트에서 사용을 선택하고 드롭다운 메뉴에서 공용 키 해시를 선택합니다.
공용 키를 수동으로 입력하려면 직접 입력을 선택하고 유효한 SHA256 해시(64) 문자 키를 입력합니다.

확인을 클릭합니다.

기존 가상 시스템에서 vSGX 사용

기존 가상 시스템에서 vSGX를 사용하도록 설정할 수 있습니다.

사전 요구 사항

vSGX에 대한 vSphere 요구 사항의 내용을 참조하십시오.

프로시저

vSphere Client를 사용하여 vCenter Server에 연결합니다.
인벤토리에서 수정할 가상 시스템을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 선택합니다.
가상 하드웨어 탭에서 보안 디바이스를 확장합니다.
SGX를 사용하도록 설정하려면 사용 확인란을 선택합니다.
Enclave 페이지 캐시 크기(MB) 텍스트 상자에 캐시 크기를 MB 단위로 입력합니다.

참고: Enclave 페이지 캐시 크기는 2MB의 배수여야 합니다.
가상 시스템이 SGX 원격 증명을 지원하지 않는 호스트(예: 등록되지 않은 다중 소켓 SGX 호스트)의 전원을 켜지 못하게 하려면 원격 증명 확인란을 선택합니다.

제어 구성 시작 드롭다운 메뉴에서 적절한 모드를 선택합니다.

옵션	작업
잠금 해제됨	이 옵션을 사용하면 게스트 운영 체제의 Enclave 시작 구성이 가능합니다.
잠김	이 옵션을 통해 Enclave 시작을 구성할 수 있습니다. Enclave 공용 키 해시 시작 옵션을 선택합니다. 호스트에 구성된 공용 키 중 하나를 사용하려면 호스트에서 사용을 선택하고 드롭다운 메뉴에서 공용 키 해시를 선택합니다. 공용 키를 수동으로 입력하려면 직접 입력을 선택하고 유효한 SHA256 해시(64) 문자 키를 입력합니다.

옵션

작업

잠금 해제됨

이 옵션을 사용하면 게스트 운영 체제의 Enclave 시작 구성이 가능합니다.

잠김

이 옵션을 통해 Enclave 시작을 구성할 수 있습니다.

Enclave 공용 키 해시 시작 옵션을 선택합니다.
호스트에 구성된 공용 키 중 하나를 사용하려면 호스트에서 사용을 선택하고 드롭다운 메뉴에서 공용 키 해시를 선택합니다.
공용 키를 수동으로 입력하려면 직접 입력을 선택하고 유효한 SHA256 해시(64) 문자 키를 입력합니다.

확인을 클릭합니다.

가상 시스템에서 vSGX 제거

가상 시스템에서 vSGX를 제거할 수 있습니다.

프로시저

vSphere Client를 사용하여 vCenter Server에 연결합니다.
인벤토리에서 수정할 가상 시스템을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 선택합니다.
설정 편집 대화상자의 보안 디바이스에서 SGX에 대해 사용 확인란을 선택 취소합니다.
확인을 클릭합니다.
vSGX 항목이 VM 하드웨어 창의 가상 시스템 요약 탭에 더 이상 나타나지 않는지 확인합니다.