Enclaves de sécurité basée sur la virtualisation (VBS)

Une enclave de sécurité basée sur la virtualisation (VBS) est un environnement d’exécution de confiance basé sur logiciel à l’intérieur de l’espace d’adressage d’une application hôte. Les enclaves VBS tirent profit de la technologie VBS sous-jacente pour isoler la partie sensible d’une application dans une partition sécurisée de mémoire. Les enclaves VBS permettent l’isolation des charges de travail sensibles à partir de l’application hôte et du reste du système.

En planifiant et en isolant la partie sensible de votre charge de travail, vous pouvez l’isoler dans une enclave VBS, comme illustré dans le diagramme suivant :

Exigences relatives aux appareils

Les éléments suivants sont nécessaires pour exécuter des enclaves VBS :

• VBS/HVCI doit être activé. Cette option doit être activée sur Windows 11 ou version ultérieure par défaut. Pour plus d’informations, consultez Activer la protection basée sur la virtualisation de l’intégrité du code.
• Windows 11 ou version ultérieure ou Windows Server 2019 ou version ultérieure.

Conditions préalables au développement

Outre les exigences relatives à l’appareil, les éléments suivants sont nécessaires pour développer des enclaves VBS :

• Visual Studio 2022 version 17.9 ou ultérieure : le Compilateur Microsoft Visual C++ (MSVC) est requis. L’installation de Visual Studio simplifie cette opération.
• Le Kit de développement logiciel Windows (SDK) version 10.0.22621.3233 ou ultérieure, qui fournit veiid.exe (l’utilitaire de liaison d’ID d’importation d’enclave VBS) et signtool.exe.
• Un compte Signatures de confiance.

Ressources supplémentaires

• API disponibles dans les enclaves VBS
• Sécurisation de vos charges de travail sensibles avec enclaves VBS
• Vue d’ensemble des enclaves sécurisées (exécution approuvée)
• Always Encrypted avec une documentation sur les enclaves sécurisées
• Sécurité basée sur la virtualisation (VBS) | Développeur de matériel Windows