Enclaves de seguridad basados en virtualización (VBS)

Un enclave de seguridad basada en virtualización (VBS) es un entorno de ejecución de confianza basado en software dentro del espacio de direcciones de una aplicación host. Los enclaves de VBS aprovechan la tecnología VBS subyacente para aislar la parte confidencial de una aplicación en una partición segura de memoria. Los enclaves de VBS permiten el aislamiento de cargas de trabajo confidenciales tanto de la aplicación de host como del resto del sistema.

Al planear con antelación y aislar la parte confidencial de la carga de trabajo, puede aislarla en un enclave de VBS, como se muestra en el diagrama siguiente:

Requisitos del dispositivo

Para ejecutar enclaves de VBS se necesita lo siguiente:

• VBS/HVCI debe estar habilitado. Se debe habilitar en Windows 11 o en una versión posterior de manera predeterminada. Para obtener más información, vea Habilitación de la protección basada en la virtualización de la integridad de código.
• Windows 11 o posterior, o Windows Server 2019 o posterior.

Requisitos previos para el desarrollo

Además de los requisitos del dispositivo, para desarrollar enclaves de VBS se necesita lo siguiente:

• Visual Studio 2022, versión 17.9 o posterior: se requiere el compilador de Microsoft Visual C++ (MSVC). La instalación de Visual Studio simplifica este proceso.
• El Kit de desarrollo de software de Windows (SDK), versión 10.0.22621.3233 o posterior, que proporciona veiid.exe (la utilidad de enlace del id. de importación de enclave de VBS) y signtool.exe.
• Una cuenta de Firma de confianza.

Recursos adicionales

• API disponibles en enclaves de VBS
• Protección de las cargas de trabajo confidenciales con enclaves de VBS
• Introducción a los enclaves seguros (ejecución de confianza)
• Documentación de Always Encrypted con enclaves seguros
• Seguridad basada en virtualización (VBS) | Desarrollador de hardware para Windows