vSphere 可讓您為虛擬機器設定虛擬 Intel® 軟體防護延伸 (vSGX)。使用 vSGX 可以為工作負載提供額外的安全性。

某些新型 Intel CPU 會執行稱為 Intel® 軟體防護延伸 (Intel® SGX) 的安全性延伸。Intel SGX 是一種特定於處理器的技術,適用於致力於保護特定代碼和資料免遭洩漏或修改的應用程式開發人員。Intel SGX 允許使用者層級代碼定義記憶體的私有區域 (稱為 Enclave)。Enclave 內容受到保護,因此,在 Enclave 外部執行的代碼無法存取 Enclave 內容。

vSGX 允許虛擬機器使用 Intel SGX 技術 (如果在硬體上可用)。若要使用 vSGX,ESXi 主機必須安裝在支援 SGX 的 CPU 上,並且必須在 ESXi 主機的 BIOS 中啟用 SGX。您可以使用 vSphere Client 為虛擬機器啟用 SGX。

vSphere 8.0 及更新版本中,可以對已啟用 vSGX 的虛擬機器使用遠端證明。Intel SGX 遠端證明是一種安全機制,允許您與受信任的遠端實體建立經過驗證的安全通訊通道。若要對使用 SGX Enclave 的虛擬機器使用遠端證明,具有單一 CPU 通訊端的主機不需要 Intel 登錄。若要在具有多個 CPU 通訊端的主機中執行的虛擬機器上啟用遠端證明,必須先向 Intel 登錄伺服器登錄該主機。如果具有多個 CPU 通訊端且支援 SGX 的主機未向 Intel 登錄伺服器登錄,則只能開啟不需要遠端證明且已啟用 vSGX 的虛擬機器的電源。

如需有關向 Intel 登錄伺服器登錄多通訊端 ESXi 主機的詳細資訊,請參閱 vCenter Server 和主機管理說明文件。

vSGX 入門

虛擬機器可使用 Intel SGX 技術 (如果在硬體上可用)。

vSGX 對 vSphere 的需求

若要使用 vSGX,您的 vSphere 環境必須符合下列需求:

  • 虛擬機器需求:
    • EFI 韌體
    • 硬體版本 17 或更新版本
    • 若要啟用遠端證明,請使用硬體版本 20 或更新版本
  • 元件需求:
    • vCenter Server 7.0 及更新版本
    • ESXi 7.0 及更新版本
    • ESXi主機必須安裝在支援 SGX 的 CPU 上,並且必須在ESXi 主機的 BIOS 中啟用 SGX。
    • 若要為主機啟用遠端證明,請向 Intel 登錄伺服器登錄主機。這樣一來,在主機上執行的虛擬機器就可以使用遠端證明。如需有關如何登錄多通訊端 ESXi 的詳細資訊,請參閱vCenter Server 和主機管理說明文件。
  • 客體作業系統支援:
    • Linux
    • Windows Server 2016 (64 位元) 及更新版本
    • Windows 10 (64 位元) 及更新版本

vSGX 支援的 Intel 硬體

如需適用於 vSGX 的受支援的 Intel 硬體,請參閱位於 https://www.vmware.com/resources/compatibility/search.php 的《vSphere 相容性指南》。

您可能需要在某些 CPU 上關閉超執行緒,以在 ESXi 主機上啟用 SGX。如需詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/71367

vSGX 上不支援的 VMware 功能

啟用 vSGX 時,虛擬機器不支援下列功能:

  • vMotion/DRS 移轉
  • 虛擬機器暫停和繼續
  • 虛擬機器快照 (如果不建立虛擬機器記憶體的快照,則支援虛擬機器快照)。
  • Fault Tolerance
  • 客體完整性 (GI,VMware AppDefense™ 1.0 的平台基礎)
備註:

由於 Intel SGX 架構的運作方式,這些 VMware 功能不受支援。並非由 VMware 弊端所致。

在虛擬機器上啟用 vSGX

您可以在建立虛擬機器的同時,在虛擬機器上啟用 vSGX。

必要條件

請參閱 vSGX 對 vSphere 的需求

程序

  1. 透過使用 vSphere Client 連線至 vCenter Server
  2. 在詳細目錄中選取一個物件,此物件必須為虛擬機器的有效父系物件,例如 ESXi 主機或叢集。
  3. 在物件上按一下滑鼠右鍵,選取新虛擬機器,然後遵循提示來建立虛擬機器。
  4. 自訂硬體頁面上,按一下虛擬硬體索引標籤,然後展開 安全性裝置
  5. 若要啟用 SGX,請選取啟用核取方塊。
  6. Enclave 頁面快取大小 (MB) 文字方塊中,輸入快取大小 (以 MB 為單位)。
    備註: Enclave 頁面快取大小必須為 2 MB 的倍數。
  7. 若要防止虛擬機器開啟不支援 SGX 遠端證明的主機 (如解除登錄的多通訊端 SGX 主機) 的電源,請選取遠端證明核取方塊。
  8. 啟動控制組態下拉式功能表中,選取適當模式。
    選項 動作
    已解除鎖定 此選項可啟用客體作業系統的啟動 Enclave 組態。
    已鎖定 此選項可讓您設定啟動 Enclave。
    1. 選取啟動 Enclave 公開金鑰雜湊選項。
    2. 若要使用主機上設定的其中一個公開金鑰,請選取從主機使用,然後從下拉式功能表中選取公開金鑰雜湊。
    3. 若要手動輸入公開金鑰,請選取手動輸入,然後輸入有效的 SHA256 雜湊 (64) 字元金鑰。
  9. 按一下確定

在現有虛擬機器上啟用 vSGX

您可以在現有虛擬機器上啟用 vSGX。

必要條件

請參閱 vSGX 對 vSphere 的需求

程序

  1. 透過使用 vSphere Client 連線至 vCenter Server
  2. 在您想要修改的詳細目錄中的虛擬機器上按一下滑鼠右鍵,然後選取編輯設定
  3. 虛擬硬體索引標籤上,展開安全性裝置
  4. 若要啟用 SGX,請選取啟用核取方塊。
  5. Enclave 頁面快取大小 (MB) 文字方塊中,輸入快取大小 (以 MB 為單位)。
    備註: Enclave 頁面快取大小必須為 2 MB 的倍數。
  6. 若要防止虛擬機器開啟不支援 SGX 遠端證明的主機 (如解除登錄的多通訊端 SGX 主機) 的電源,請選取遠端證明核取方塊。
  7. 啟動控制組態下拉式功能表中,選取適當模式。
    選項 動作
    已解除鎖定 此選項可啟用客體作業系統的啟動 Enclave 組態。
    已鎖定 此選項可讓您設定啟動 Enclave。
    1. 選取啟動 Enclave 公開金鑰雜湊選項。
    2. 若要使用主機上設定的其中一個公開金鑰,請選取從主機使用,然後從下拉式功能表中選取公開金鑰雜湊。
    3. 若要手動輸入公開金鑰,請選取手動輸入,然後輸入有效的 SHA256 雜湊 (64) 字元金鑰。
  8. 按一下確定

從虛擬機器移除 vSGX

您可以從虛擬機器中移除 vSGX。

程序

  1. 透過使用 vSphere Client連線至 vCenter Server
  2. 在您想要修改的詳細目錄中的虛擬機器上按一下滑鼠右鍵,然後選取編輯設定
  3. 編輯設定對話方塊的安全性裝置下,針對 SGX 取消選取啟用核取方塊。
  4. 按一下確定
    確認 vSGX 項目不再顯示於虛擬機器之 虛擬機器硬體窗格中的 摘要索引標籤上。