介绍vSphere 6.7安全性

  • 内容
  • 评论
  • 相关

我非常高兴能与您分享vSphere 6.7中现有的所有新安全功能! 6.7中的安全目标是双重的。 引入更多易于使用的安全功能和满足客户IT和安全团队设定的要求 通过vSphere 6.7,我们实现了两个目标。让我们深入一些新功能和变化。

TPM 2.0支持ESXi

许多人都知道TPM(可信平台模块)是笔记本电脑,台式机或服务器系统上的设备。 它用于存储加密数据(密钥,凭证,散列值)。 TPM 1.2支持在ESXi上已有很多年,但主要由合作伙伴使用。 TPM 2.0不向后兼容1.2,并且需要所有新的设备驱动程序和API开发。 可信计算小组TPM是什么以及做什么有很好的概述 

ESXiTPM 2.0的使用建立在我们使用Secure Boot6.5版本上。 简而言之,我们验证系统是否启用了安全启动,然后我们进行测量并将它们存储在TPM中。 vCenter将读取这些度量值并将其与ESXi本身报告的值进行比较。 如果这些值匹配,那么主机已启用安全启动并启动所有好东西,例如只运行签名代码以及无法安装未签名代码。 vCenter将在vCenter Web Client中提供证明报告,向您显示每台主机的状态。

针对虚拟机的虚拟TPM 2.0

为了支持虚拟机的TPM,我们的工程师创建了一个虚拟化的TPM 2.0设备。 它在Windows中显示为普通的TPM 2.0设备。 像物理TPM一样,它可以执行加密操作和存储凭证。 但是,我们如何保护存储在虚拟TPM中的数据呢? 我们将这些数据写入VMnvram文件并使用VM Encryption保护该文件。 这将保持vTPM中的数据安全并且与VM”传播 如果我将该虚拟机复制到另一个数据中心,并且该数据中心未配置为与我的KMS进行通信,则该vTPM中的数据将得到保护。 所有相同的VM加密规则都适用。

注意:只有VM”文件被加密,而不是VMDK,除非你选择加密它们。

为什么我们不使用硬件TPM

硬件TPM有许多限制。 这是一个串口设备,所以速度很慢。 它有一个安全的nvram存储大小,以字节为单位 它不适用于在主机上容纳超过100个虚拟机。 它将无法将所有TPM数据存储在物理TPM上。 它需要一个调度器来执行它的加密操作。 想象一下,100台虚拟机试图加密一些东西,并依赖于一次只能做一个的串行设备? 啊。

即使我可以物理存储数据,请考虑使用vMotion 我必须安全地从一个物理TPM中删除数据并将其复制到另一个物理TPM中。 并用新的TPM密钥重新签署数据。 所有这些行动在实践中都非常缓慢,充满了额外的安全问题和要求。

注意: 为了运行虚拟TPM,您需要虚拟机加密  这意味着您将需要第三方密钥管理基础架构。 请参阅支持的KMS列表KMS拓扑上的我的博客。

支持基于Microsoft虚拟化的安全性

您的安全团队可能会要求/请求凭据守卫支持。 就是这个。

早在2015年,微软推出了基于虚拟化的安全性。 我们与微软密切合作,为vSphere 6.7中的这些功能提供支持。 让我们快速回顾一下发生的事情。

当您在运行Windows 10的笔记本电脑上启用VBS时,系统将重新启动,而不是直接启动Windows 10,系统将引导Microsoft的管理程序。 对于vSphere,这意味着直接运行Windows 10的虚拟机现在正在运行微软的虚拟机管理程序,该虚拟机现在运行Windows 10.这被称为嵌套虚拟化,这是VMware拥有丰富经验的东西。 多年来,我们一直在Hands On Lab中使用嵌套式虚拟化。

当您在vSphere级别启用VBS时,其中一个复选框打开了许多功能。

  • 嵌套虚拟化
  • IOMMU
  • EFI固件
  • 安全启动

这不会做的是在VMGuest OS中启用VBS 为此,您需要遵循Microsoft指导。 这可以通过PowerShell脚本,组策略等来完成。

问题的关键在于vSphere的角色是提供虚拟硬件来支持VBS的启用  结合虚拟TPM,您现在可以启用VBS并打开Credential Guard等功能。

如果您今天正在构建Windows 10Windows Server 2016虚拟机,我强烈建议您在启用EFI固件的情况下构建它们。 在传统的BIOS / MBR转移到EFIUEFI)固件之后,事实上将在后面引入一些挑战。

UI更新

vSphere 6.7中,我们在HTML5H5Web客户端的功能方面取得了一些进展。 我现在一直都在使用它。 它的速度很快,布局合理,并且完成了我在实验室中运行的所有任务。 为了让虚拟机加密级别的管理员更轻松,我们做了一些更改。 在后台我们仍然利用存储策略,但我们已将所有加密功能(VM加密,vMotion加密)结合到VM选项中的一个面板中。 我想你会发现这是一个更合乎逻辑的工作流程。

多个SYSLOG目标

这是我长期以来一直想要的。 几年前,我帮助实现了6.5版日志记录增强功能,并且我的其中一个要求是可以从UI中配置多个SYSLOG目标。 为什么? 有些客户希望他们的SYSLOG流到两个地方。 例如,IT和资讯安全团队。 IT人员喜欢VMware Log Insight InfoSec团队通常使用安全事件和事件管理系统,这些系统具有专门针对安全操作的功能。 现在都可以有一个未过滤的SYSLOG事件流到达它们各自的目标。 VAMI UI现在最多支持3个不同的SYSLOG目标。

FIPS 140-2已验证的加密模块默认情况下

这对我们的美国联邦客户来说是个大新闻。 vSpherevCenterESXi)中,有两个模块用于加密操作。我们的虚拟机加密和加密vSAN功能使用VM内核加密模块,而OpenSSL模块用于证书生成和TLS连接等功能。 这两个模块已通过FIPS 140-2验证。

现在,这是否意味着vSphere“FIPS认证的? 那么有些人可能会错误地使用这些术语。 获得“FIPS认证实际上适用于经过测试和配置的完整硬件和软件解决方案。 我们在VMware上所做的工作使我们的合作伙伴更轻松地对vSphere进行FIPS操作进行认证。 我们期待在不久的将来看到这种情况。 典型的vSphere客户应该知道,vSphere中的所有加密操作都是使用最高标准完成的,因为我们已将所有FIPS 140-2加密操作都打开为默认值 

简讯

更多信息将很快以博客文章和常见问题的形式发布。 例如, vSphereCentral上将提供TPM和虚拟TPM常见问题解答。 这应该解决你的许多问题!

你有它。 很多新的安全措施。 您将在这里看到的是,我们引入了诸如用于ESXiVM Encryption的安全引导等新功能,然后分别在TPM 2.0和虚拟TPM之上分层添加新功能。 我预计这种模式将继续向前发展。

我们致力于提供一流的安全性,同时要特别注意使安全易于实施和管理。 我要感谢所有VMware研发团队在此版本中的出色工作。 他们努力工作以使安全性更容易实现和管理! 了解这一点:vSphere Security Land中的未来是光明的!

谢谢阅读!

麦克

关于作者


Mike FoleyVMware的高级技术营销架构师。 他的主要工作重点是核心平台vSphere的安全性。

他的主要目标是帮助IT管理员构建更安全的平台,使其能够经受安全团队的严格审查,而对IT运营的影响最小。

Mike还是vSphere安全配置(以前称为Hardening)指南的当前作者。

此前,Mike曾在RSA的传道团队工作,专注于虚拟化和云安全。 Mike201312月获得专利(8,601,544),用于使用虚拟基础架构的双频认证

Mikehttps://yelof.com上拥有个人博客,并为VMware vSphere和安全博客做出贡献。

Twitter上关注他@vSphereSecurity