虛擬信賴平台模組 (vTPM) 是實體信賴平台模組 2.0 晶片的基於軟體的表示。vTPM 可像任何其他虛擬裝置一樣運作。
vTPM 提供以硬體為基礎的安全相關功能,例如隨機數字產生、證明、金鑰產生等。新增至虛擬機器時,vTPM 可讓客體作業系統建立和儲存私有金鑰。這些金鑰不會向客體作業系統本身公開。因此,會減少虛擬機器攻擊面。通常,破壞客體作業系統會破壞其密碼,但啟用 vTPM 可大幅降低此風險。這些金鑰僅供客體作業系統用於加密或簽署。透過連結 vTPM,用戶端可以遠端證明虛擬機器的身分,並驗證其正在執行的軟體。
vTPM 不需要 ESXi 主機上存在實體信賴平台模組 (TPM) 2.0 晶片。但是,如果您想要執行主機證明,則需要 TPM 2.0 實體晶片等外部實體。如需更多詳細資料,請參閱 vSphere 安全性說明文件。
如何為虛擬機器設定 vTPM
從虛擬機器角度來看,vTPM 是一個虛擬裝置。您可以將 vTPM 新增至新虛擬機器或現有的虛擬機器。vTPM 依賴虛擬機器加密來保護重要的 TPM 資料,因此,要求您設定金鑰提供者。設定 vTPM 時,會加密虛擬機器檔案而非磁碟。您可以選擇為虛擬機器及其磁碟明確新增加密。
備份已啟用 vTPM 的虛擬機器時,備份必須包含所有虛擬機器資料,包括 *.nvram 檔案。如果您的備份未包含 *.nvram 檔案,則無法使用 vTPM 還原虛擬機器。此外,由於啟用 vTPM 之虛擬機器的虛擬機器主檔案已加密,請確保加密金鑰在還原時可供使用。
在 vSphere 8.0 及更新版本中,在複製具有 vTPM 的虛擬機器時,針對具有 vTPM 的虛擬機器選取取代選項時,會從一個新的空白 vTPM 開始,該 vTPM 將取得自己的密碼和身分識別。取代 vTPM 的密碼時,將取代所有金鑰,包括工作負載相關金鑰。最佳做法是,在取代金鑰之前,確保工作負載不再使用 vTPM。否則,已複製虛擬機器中的工作負載可能無法正常運作。
針對 vTPM 的 vSphere 要求
若要使用 vTPM,您的 vSphere 環境必須符合下列需求:
- 虛擬機器需求:
- EFI 韌體
- 硬體版本 14 及更新版本
- 元件需求:
- 針對 Windows 虛擬機器要求 vCenter Server 6.7 及更新版本,針對 Linux 虛擬機器要求 vCenter Server 7.0 Update 2 及更新版本。
- 虛擬機器加密 (加密虛擬機器主檔案)。
- 為 vCenter Server 設定的金鑰提供者。如需更多詳細資料,請參閱 vSphere 安全性說明文件。
- 客體作業系統支援:
- Linux
- Windows Server 2008 及更新版本
- Windows 7 及更新版本
硬體 TPM 和虛擬 TPM 之間的差異
使用硬體信賴平台模組 (TPM) 為認證或金鑰提供安全儲存區。vTPM 與 TPM 執行相同的功能,但在軟體中執行密碼編譯副處理器功能。vTPM 使用.nvram 檔案做為其安全的儲存區,該檔案透過虛擬機器加密進行加密。
硬體 TPM 包含預先載入的金鑰,稱為簽署金鑰 (EK)。EK 具有私密和公開金鑰。EK 為 TPM 提供唯一的身分識別。對於 vTPM,將由 VMware Certificate Authority (VMCA) 或第三方憑證授權機構 (CA) 提供此金鑰。一旦 vTPM 使用某個金鑰,該金鑰通常不會變更,因為這樣做會導致 vTPM 中儲存的敏感資訊失效。vTPM 在任何時候都不會連絡第三方 CA。