Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Un módulo de plataforma de confianza (TPM) está diseñado para proporcionar funciones de seguridad basadas en hardware. Estas funciones incluyen almacenamiento secreto para claves criptográficas, almacenamiento para medidas del proceso de arranque y una raíz de confianza de hardware externo.
Cada una de las máquinas virtuales confidenciales de Azure tiene su propio TPM virtual dedicado (vTPM). vTPM es una versión virtualizada de un TPM de hardware y cumple con la especificación TPM2.0. En una máquina virtual confidencial, el vTPM se ejecuta dentro de la máquina virtual en una región de memoria protegida basada en hardware. Con esta arquitectura, cada máquina virtual confidencial tiene su propia instancia única de vTPM aislada y cifrada por AMD SEV-SNP. Por lo tanto, la instancia de vTPM de una máquina virtual confidencial de Azure está aislada del entorno de hospedaje y de todas las demás máquinas virtuales del sistema.
Para más información sobre la tecnología, consulte nuestro blog sobre máquinas virtuales confidenciales.
Dado que el vTPM se ejecuta dentro de la máquina virtual confidencial, se mide mediante el hardware SEV-SNP AMD. Los clientes pueden recuperar el informe de hardware generado por el procesador de seguridad de la plataforma (PSP) para atestiguar la identidad e integridad del vTPM que garantiza que el TPM es auténtico.
El informe de hardware se puede usar para comprobar que la máquina virtual confidencial se ejecuta como una máquina segura aislada con un vTPM aislado, protegido por integridad y medido. VTPM se puede usar a su vez para medir y proteger el arranque de los componentes del sistema operativo en la máquina virtual confidencial. Mediante el uso de primitivos basados en TPM habituales, como arranque medido y arranque seguro, puede asegurarse y demostrar que la máquina virtual confidencial se inicia según lo previsto.
Los TPM tienen registros de configuración de plataforma (PCR) que se pueden usar para medir criptográficamente el estado de software para asegurarse de que no se ha alterado nada o se ha usado incorrectamente. Los valores de PCR son hash unidireccionales para asegurarse de que las medidas no se pueden quitar ni modificar. Las PCR se usan para almacenar las medidas de varios artefactos de arranque para ayudar con el proceso de arranque medido. Las PCR también se pueden usar para medir aplicaciones, medidas de integridad de disco y otros componentes. Además, las PCR se pueden usar para aplicar directivas de seguridad como directivas de integridad de código (CI) y de aplicación para asegurarse de que el sistema sigue siendo compatible con las directivas deseadas.
Para aprovechar los módulos de plataforma de confianza virtual (vTPM) en máquinas virtuales confidenciales, consulte Cómo aprovechar los vTPM en máquinas virtuales confidenciales.