想要有效保護主機中各類重要的敏感資料,可藉由各種安全加密機制來做防護。只是當需要保護的對象是虛擬機器而非實體主機時,該怎麼辦呢?且看本文以實戰講解方式說明如何運用vSphere 6.7對於vTPM技術的支援,解決極機密虛擬機器資料的保護需求。
想要在VMware vSphere架構下使用VBS功能,並不需要預先啟用vTPM裝置功能,但是條件除了Guest OS必須是Windows 10或Windows Server 2016外,運行虛擬機器的ESXi主機版本必須至少是6.7以上版本。在虛擬機器配置上,對於新增的虛擬機器可以在設定過程中勾選「虛擬化型安全性」選項。
對於現行的虛擬機器,則可以在關機後開啟「編輯設定」頁面,並在「虛擬機器選項」頁面中勾選「虛擬化型安全性」選項即可。上述設定都可以在VMware Host Client或vSphere Client(HTML)網站中進行。
請注意!當VBS功能啟用後,系統將會自動一併啟用相關必要的虛擬機器設定,包括硬體虛擬化、IOMMU、EFI韌體以及安全開機四項設定。但是當停用VBS功能時,此四項設定必須根據實際需求來自行手動關閉。
完成啟用ESXi 6.7上虛擬機器的VBS功能後,對於相容的Guest OS來說,還必須完成相關配置才能算真正啟用VBS。先在Windows桌面中執行「msinfo.exe」開啟「系統資訊」介面,如圖28所示便會在「系統摘要」頁面中查看到目前是否已經啟用虛擬化型安全性(VBS)功能。
 |
| ▲圖28 查看系統資訊。 |
緊接著,執行「gpedit.msc」命令開啟「本機群組原則編輯器」介面。然後,展開至「電腦設定」→「系統管理範本」→「系統」→「Device Guard」節點頁面,連續點選「開啟虛擬化型安全性」,如圖29所示。
 |
| ▲圖29 使用本機群組原則編輯器,點選「開啟虛擬化型安全性」。 |
如圖30所示,在「開啟虛擬化型安全性」頁面中先選取「已啟用」,再到「Credential Guard設定」選單中選擇【在包含UEFI鎖定的情況下啟用】選項。若是選擇【在不含鎖定情況下啟用】選項,即表示管理人員透過遠端連線的方式,將程式碼完整性以及虛擬化型保護予以停用,對於講究安全性的資訊單位來說,可能會有安全性的疑慮。
 |
| ▲圖30 開啟虛擬化型安全性原則設定。 |
結語
目前在vSphere 6.7的虛擬機器加密保護機制中,無論採用舊版的虛擬機器儲存區原則加密功能,還是新增加的vTPM虛擬機器加密功能,皆需要預先部署好相容的第三方金鑰管理伺服器(KMS)。然而問題來了,由於KMS並非vCenter所內建的服務,因此當vSphere完成升級後,KMS便會因相容問題而發生無法正常運作,導致已被加密的虛擬機器無法正常啟動。因此,筆者認為在未來新版的vSphere設計中,KMS應該直接由官方將它內建於vCenter,如此才能夠隨著版本不斷升級而持續正常運作。
<本文作者:顧武雄, Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-217、IBM Unified Communications/Notes/Domino/Connections Certified。>