Azure VMware Solution için Güvenli Başlatma

Bu makalede, Güvenilen Başlatma ve Azure VMware Solution'da Virtual Machines üzerinde Sanal Güvenilen Platform Modülü'ünü (vTPM) yapılandırma hakkında bilgi edinin. Güvenilir Başlatma, üç temel bileşeni kapsayan kapsamlı bir güvenlik çözümüdür: Güvenli Önyükleme, Sanal Güvenilen Platform Modülü (vTPM) ve Sanallaştırma tabanlı güvenlik (VBS). Bu bileşenlerin her biri, VM'lerin güvenlik duruşunun güçlendirilmesinde önemli bir rol oynar.

Güvenilir başlatma, Güvenli Önyükleme, Sanal Güvenilen Platform Modülü ve Sanallaştırma Tabanlı Güvenlik'in üç sütununu gösteren diyagram.

Avantajlar

• Doğrulanmış önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücülerle VM'leri güvenli bir şekilde dağıtın.

• VM'lerdeki anahtarları, sertifikaları ve gizli dizileri güvenli bir şekilde koruyun.

• Tüm önyükleme zincirinin bütünlüğü hakkında içgörüler ve güven kazanın.

• İş yüklerinin güvenilir ve doğrulanabilir olduğundan emin olun.

Güvenli Önyükleme

Güvenli Önyükleme, Güvenilir Başlatma'da savunmanın ön yüzüdür. "Yalnızca imzalı işletim sistemleri ve sürücülerin önyüklenmesine izin verildiğinden emin olarak VM'ler için bir 'güven kaynağı' oluşturur." Güvenli Önyükleme, kötü amaçlı yazılım tabanlı rootkit'lerin ve bootkit'lerin yüklenmesini önler ve bu da tüm sistemin güvenliğini tehlikeye atabilir. Güvenli Önyükleme etkinleştirildiğinde, önyükleme işleminin her yönünün (önyükleme yükleyicisinden çekirdek ve çekirdek sürücülerine) güvenilir yayımcılar tarafından dijital olarak imzalanmasını sağlayın. Dijital imzalar, yetkisiz değişikliklere karşı sağlam bir kalkan oluşturur ve VM'lerin güvenli ve güvenilir bir durumda başlamasını sağlar.

Sanal Güvenilen Platform Modülü (vTPM)

vTPM, donanım Güvenilen Platform Modülü (TPM) 2.0 cihazının sanallaştırılmış bir sürümüdür. Anahtarları, sertifikaları ve gizli bilgileri depolamak için özel bir güvenli kasa işlevi görür. vTPM'yi birbirinden ayıran şey, herhangi bir VM'nin erişimi dışında güvenli bir ortamda çalışabilmesi ve kurcalamaya karşı dayanıklı ve yüksek oranda güvenli olmasıdır. vTPM'nin temel işlevlerinden biri kanıtlamadır. Vm'nin güvenli bir şekilde önyüklendiğini onaylamak için Birleştirilmiş Genişletilebilir Bellenim Arabirimi (UEFI), işletim sistemi, sistem bileşenleri ve sürücüler dahil olmak üzere bir VM'nin tüm önyükleme zincirini ölçer. Kanıtlama mekanizması, VM'lerin bütünlüğünü doğrulamak ve bunların gizliliğinin tehlikeye atılmamasını sağlamak için çok değerlidir.

Sanallaştırma Tabanlı Güvenlik (VBS)

Sanallaştırma Tabanlı Güvenlik (VBS), Güvenilen Lansman bulmacasının son parçasıdır. Vm içinde yalıtılmış, güvenli bellek bölgeleri oluşturmak için hiper yöneticiyi kullanır. VBS, yalıtılmış, hiper yönetici tarafından kısıtlanmış, özelleştirilmiş bir alt sistem oluşturarak sistem güvenliğini geliştirmek için sanallaştırmayı kullanır. Kimlik bilgilerinin yetkisiz erişimine karşı koruma sağlar, kötü amaçlı yazılımların Windows sisteminde çalışmasını önler ve önyükleme yükleyicisinden yalnızca güvenilen kod çalıştırmalarını sağlar.

Azure VMware Solution ile Virtual Machines'da Sanal Güvenilen Platform Modülünü (vTPM) yapılandırma

Bu bölümde, Azure VMware Solution'de çalışan bir VMware vSphere sanal makinesinde (VM) sanal Güvenilen Platform Modülü'ne (vTPM) nasıl etkinleştirileceği gösterilmektedir.

VMware vSphere'deki sanal Güvenilir Platform Modülü (vTPM), VM Şifrelemesi kullanan fiziksel TPM 2.0 yongasının sanal karşılığıdır. Fiziksel TPM ile aynı işlevleri sağlar ancak VM'ler içinde çalışır. Her VM'nin, hassas bilgilerin güvenliğini sağlamaya ve sistem bütünlüğünü korumaya yardımcı olan kendi benzersiz ve yalıtılmış vTPM'leri olabilir. Bu ayar, VM'lerin daha güvenli bir sanal ortam oluşturmak için BitLocker disk şifrelemesi gibi güvenlik özelliklerini uygulamasına ve sanal donanım cihazlarının kimliğini doğrulamasına olanak tanır.

Prerequisites

Azure VMware Solution bir VM'de vTPM'yi yapılandırmadan önce aşağıdaki önkoşulların karşılandığından emin olun:

  • Sanal makine EFI üretici yazılımını kullanmalıdır.
  • Sanal makinenin donanım sürümü 14 veya üzeri olması gerekir.
  • Konuk işletim sistemi desteği: Linux, Windows Server 2008 ve üzeri, Windows 7 ve üzeri.

Önemli

Müşterilerin vTPM'yi Azure VMware Solution kullanacak şekilde bir anahtar sağlayıcısı yapılandırması gerekmez. Azure VMware Solution zaten her ortam için anahtar sağlayıcılar sağlar ve yönetir.

vTPM'yi yapılandırma

Azure VMware Solution bir VM'de vTPM'yi yapılandırmak için şu adımları izleyin:

  1. vSphere İstemcisi'ni kullanarak vCenter Server'a bağlanın.

  2. Envanterde, değiştirmek istediğiniz sanal makineye sağ tıklayın ve Ayarları Düzenle'yi seçin.

Azure VMware Solution'da bir sanal makinede vTPM'yi etkinleştirmeyi gösteren diyagram.

  1. Ayarları Düzenle iletişim kutusunda Yeni Cihaz Ekle'yi seçin ve Güvenilen Platform Modülü'ne tıklayın.

  2. Tamam'ı seçin. Sanal makine Özeti sekmesinde VM Donanımı bölmesinde Sanal Güvenilen Platform Modülü görüntülenir.

Önemli

VMware vSphere 7'de, bir sanal makine kopyalanması hem VM'nin hem de vTPM'nin tam bir çoğaltmasını oluşturur. VMware vSphere 8, farklı kullanım örneklerinin daha iyi işlenmesini sağlayan TPM'yi kopyalama veya değiştirme seçenekleri sunar.

Desteklenmeyen senaryolar

Bazı araçlar vTPM ile VM geçişlerini desteklemez. Geçiş aracının belgelerine bakın. Desteklenmiyorsa VTPM'yi güvenli bir şekilde devre dışı bırakmak ve geçiş sonrasında yeniden etkinleştirmek için VMware belgelerini izleyebilirsiniz.

Daha fazla bilgi

Virtual Trusted Platform Modülü ile Sanal Makinelerin Güvenliğini Sağlamak

Sanal Güvenilen Platform Modülü nedir?

vSphere Sanal TPM (vTPM) Soruları ve Yanıtları

  • Last updated on