VMware vSphere 6.7 Journey (5) - TPM / vTPM / Windows VBS


前言

在目前混合及多雲的運作環境中,如何保護企業及組織的機敏資料更顯重要。因此,在新版 vSphere 6.7 中,ESXi 虛擬化平台正式支援 TPM 2.0(Trusted Platform Module),能夠儲存加密金鑰、憑證、雜湊……等資料,同時透過 vTPM 2.0 機制更可以將保護範圍擴大到 VM 虛擬主機。

事實上,ESXi 虛擬化平台已經支援多年 TPM 1.2。值得注意的是,舊版 TPM 1.2 及新版 TPM 2.0 無法相容,因此舊有 TPM 1.2 的裝置驅動程式及 API 必須重新開發。





ESXi 虛擬化平台支援新式 TPM 2.0

在新版 vSphere 6.7 的運作架構中,當 ESXi 虛擬化平台採用的 x86 硬體伺服器,配置 TPM 2.0 安全性模組後,那麼 ESXi 虛擬化平台便能啟用「安全啟動」(Secure Boot)機制,透過底層硬體保護 ESXi 虛擬化平台的 UEFI Firmware、Boot Loader、VMKernel 等初始化及開機程序。

簡單來說,ESXi 虛擬化平台將安全性資訊儲存於 TPM 2.0 安全性模組當中,而 vCenter Server 管理平台將會讀取相關資訊,例如,ESXi Event Log、VIB Metadata……等,並且與受管理的 ESXi 虛擬化平台進行匹配比較,確保 ESXi 虛擬化平台只會運作通過驗證的程式碼免於遭受攻擊。
事實上,在 vSphere 6.5 版本時便已經支援 Secure Boot,但當時僅能使用舊版 TPM 1.2 安全性模組進行實作,詳細資訊請參考 VMware vSphere Blog - Secure Boot for ESXi 6.5 – Hypervisor Assurance 文章內容。
圖、Secure Boot 機制有效保護 ESXi 虛擬化平台初始化及開機程序

影片、TPM 2.0 Trusted Platform Module for vSphere 6.7

影片、vSphere 6.7 Support for ESXi and TPM 2.0





vTPM 2.0 擴大保護範圍至 VM 虛擬主機

當 ESXi 虛擬化平台配置 TPM 2.0 安全性模組後,便能啟用 vTPM 2.0 機制並將加密金鑰、憑證、雜湊等機敏資料保護機制擴大到 VM 虛擬主機。

啟用 vTPM 2.0 機制的 VM 虛擬主機,在客體作業系統中將會如同實體主機一樣看到普通的 TPM 2.0 安全性模組,當管理人員需要進行加密金鑰、憑證、雜湊等機制保護機敏資料時,便會將相關資料寫入 VM 虛擬主機當中的 NVRAM 檔案內,同時採用 VM Encryption 機制保護該檔案,並且同時支援 Windows VBS(Virtualization-Based Security)安全性機制協同運作。

此外,啟用 vTPM 2.0 保護機制的 VM 虛擬主機,當遷移或匯出至其它資料中心或雲端環境時,倘若該資料中心或雲端環境未支援或使用 KMS(Key Management System),仍然可以透過原有的 vTPM 2.0 保護機制確保機敏資料無法被惡意人士所碰觸。

圖、TPM / vTPM 支援 Windows VBS 安全性機制示意圖

影片、vSphere 6.7 support for Virtual TPM 2.0

影片、vSphere 6.7 support for VBS and Credential Guard





參考資源






VMware vSphere 6.7 攻略 - 系列文章