Citrix Hypervisor

Measured Boot Supplemental Pack

El Citrix Hypervisor Measured Boot Supplemental Pack permite a los clientes medir los componentes clave de sus hosts Citrix Hypervisor en el momento del arranque. También proporciona API que permiten que las soluciones de certificación remota recopilen estas mediciones de forma segura. Este paquete complementario es compatible con los sistemas informáticos Intel que admiten la tecnología de ejecución fiable (TXT).

Este paquete complementario está disponible para descargar en la página Citrix Hypervisor 8.2 Premium Edition.

Nota:

El Measured Boot Supplemental Pack está disponible para los clientes de Citrix Hypervisor Premium Edition o para aquellos clientes que tienen acceso a Citrix Hypervisor a través de sus derechos de Citrix Virtual Apps and Desktops o de Citrix DaaS.

Grupo

Después de la instalación de este paquete complementario, cuando vuelva a arrancar un servidor de Citrix Hypervisor, el TXT de Intel mide los componentes del sistema de bajo nivel (como firmware, BIOS, hipervisor Xen, kernel dom0 y dom0 initrd). Estas mediciones se almacenan en una ubicación segura en el host conocida como Módulo de plataforma segura (TPM). Se proporciona una nueva interfaz para que los clientes, como una solución de atestación remota, recopilen estas mediciones de forma segura.

Atestación remota

Las soluciones de autenticación remota funcionan conectándose a un servidor de Citrix Hypervisor que se encuentra en un estado limpio de “bien conocido”. Puede consultar de forma remota y segura el TPM del servidor de Citrix Hypervisor para obtener una lista de mediciones clave del sistema de bajo nivel. Almacena estas medidas en una lista de medidas de “lista blanca” o “bien conocida”.

En este punto, el software de atestación remota recopila periódicamente las mediciones clave del sistema y las compara con su lista de “funcionalidad comprobada”.

Un host se considera “no fiable” en los siguientes casos:

  • Si el software de certificación remota no puede recopilar las mediciones
  • Si las medidas cambian
  • Si las claves criptográficas no son válidas

En este caso, se notifica al cliente. El software de orquestación de nivel superior, como CloudStack, OpenStack o el software de equilibrio de carga de trabajo, puede realizar operaciones de seguridad inteligentes en los hosts afectados.

Preparar el servidor de Citrix Hypervisor

Para que este paquete complementario funcione correctamente, antes de intentar recopilar datos, modifique la siguiente configuración en el BIOS del host:

  1. Configure el servidor de Citrix Hypervisor para que se inicie en modo heredado.

    Nota:

    El modo de arranque UEFI no se admite con el arranque medido.

  2. Habilite Intel AES-NI.

  3. Active Seguridad de TPM o Encendido con mediciones previas al arranque.

  4. Borre el TPM.

    Esta acción borra cualquier configuración y contraseña anteriores asociadas con el TPM para permitir que el Citrix Hypervisor Measured Boot Supplemental Pack tome el control del TPM.

    Nota:

    Es necesario reiniciar después de este paso.

  5. Habilite el TPM.

  6. Habilite Intel TXT.

Nota:

  • Es necesario reiniciar después de los pasos 5 y 6.
  • La configuración del BIOS varía según el fabricante del hardware. Consulte la documentación de hardware para ver cómo habilitar el TPM y el TXT para su entorno específico.

Instale el paquete complementario

Use la CLI de Citrix Hypervisor para instalar este paquete complementario. Al igual que con cualquier actualización de software, le recomendamos que haga una copia de seguridad de sus datos antes de aplicar este paquete complementario.

Los paquetes suplementarios se pueden transmitir en un archivo zip. Si la ISO del paquete suplementario está contenida en un archivo zip, descomprima este archivo zip (para producir la imagen ISO del disco), antes de llevar a cabo los pasos a continuación.

Instalar en un sistema Citrix Hypervisor en ejecución

  1. Descargue el paquete complementario directamente en el host de Citrix Hypervisor para actualizarlo.

    Recomendamos almacenarlo en el directorio /tmp/.

    Como alternativa, puede descargar el archivo en un equipo conectado a Internet y grabar la imagen ISO en un CD.

  2. Use XenCenter para acceder a la consola del host Citrix Hypervisor o use un shell seguro (SSH) para iniciar sesión directamente.

  3. El método más sencillo es instalar directamente desde el archivo ISO. Escriba lo siguiente:

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.2-measured-boot.iso
    <!--NeedCopy-->
    

    Alternativamente, si decide grabar la ISO en un CD, debe montar el disco. Por ejemplo, para un CD-ROM, introduzca lo siguiente:

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    <!--NeedCopy-->
    
  4. Para que los cambios surtan efecto, reinicie el host.

Reinstalación

Si va a instalar este paquete complementario sobre una versión anterior, confirme sobrescribir la instalación anterior. Introduzca Y cuando se le solicite durante la instalación de xe-install-supplemental-pack.

Actualizar la contraseña predeterminada

En versiones anteriores del paquete complementario, la contraseña predeterminada se configuraba xenroot con una nueva línea al final. Esta nueva línea final se ha eliminado para la contraseña predeterminada en esta versión del paquete complementario, siendo la nueva contraseña predeterminada xenroot.

Se puede establecer una contraseña personalizada /opt/xensource/tpm/config y debe ser un hash sha1 de una contraseña de texto sin formato, que se puede generar con echo -n <password | sha1sum. Si -n se omite en esta línea de comandos, se incluye una nueva línea al final de la contraseña.

Establecer etiquetas de activos

Las etiquetas de activos se pueden establecer mediante el binario /opt/xensource/tpm/xentpm con los métodos --tpm_set_asset_tag y --tpm_clear_asset_tag, o mediante el complemento tpm de la API de administración con las funciones tpm_set_asset_tag (con un argumento “tag”) y tpm_clear_asset_tag:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag
<!--NeedCopy-->

Nota:

Es necesario reiniciar después de este paso.

Más información

Para descargar el Measured Boot Supplemental Pack, consulte la página Citrix Hypervisor 8.2 Premium Edition.

Si tiene algún problema con la instalación de este paquete complementario, póngase en contacto con el soporte técnico de Citrix.

Para obtener documentación de Citrix Hypervisor 8.2, visite el sitio web de documentación de productos Citrix.

Measured Boot Supplemental Pack