Paquete suplementario de arranque medido

Citrix Hypervisor Measued Boot Supplemental Pack permite a los clientes medir componentes clave de sus hosts Citrix Hypervisor durante el arranque. También proporciona API que permiten que las soluciones de autenticación remota recopilen estas mediciones de forma segura. Este paquete complementario es compatible con sistemas informáticos Intel compatibles con la tecnología Trusted Execution (TXT).

Este paquete complementario está disponible para descargar desde laCitrix Hypervisor 8.0 Premium Editionpágina.

Nota:

El paquete suplementario de arranque medido está disponible para los clientes de Citrix Hypervisor Premium Edition o aquellos clientes que tengan acceso a Citrix Hypervisor a través de su derecho de Citrix Virtual Apps and Desktops.

Fondo

Después de la instalación de este paquete suplementario, cuando un servidor Citrix Hypervisor se inicia a continuación, el TXT de Intel toma medidas de componentes del sistema de bajo nivel (como firmware, BIOS, hipervisor Xen, kernel dom0 y dom0 initrd) y los almacena en una ubicación segura en el host conocido como Módulo de plataforma (TPM). Se proporciona una nueva interfaz para que los clientes, como una solución de autenticación remota, recojan estas mediciones de forma segura.

Autenticación remota

Las soluciones de autenticación remota funcionan conectándose a un servidor Citrix Hypervisor que se encuentra en un estado limpio de «bien conocido». Puede consultar de forma remota y segura el TPM del servidor Citrix Hypervisor para obtener una lista de mediciones clave del sistema de bajo nivel. Almacena estas medidas en una lista de medidas de «lista blanca» o «mercancía conocida».

En este punto, el software de autenticación remota recopila periódicamente las mediciones clave del sistema y las compara con su lista de «bienes conocidos».

Un host se considera «no confiable» en los siguientes casos:

  • Si el software de autenticación remota no puede recopilar las mediciones
  • Si las medidas cambian
  • Si las claves criptográficas no son válidas

En este caso, se notifica al cliente. El software de orquestación de nivel superior, como CloudStack, OpenStack o el software de equilibrio de cargas de trabajo, puede realizar operaciones de seguridad inteligentes en los hosts afectados.

Preparar el servidor Citrix Hypervisor

Para que este paquete complementario funcione correctamente, antes de intentar recopilar datos, edite los siguientes ajustes en el BIOS de su host:

  1. Configure el servidor Citrix Hypervisor para que se inicie en modo heredado.

    Nota:

    El modo de arranque UEFI no es compatible con el arranque medido.

  2. Habilite Intel AES-NI.

  3. Encienda TPM Security o On con las mediciones previas al arranque .

  4. Borre el TPM.

    Esta acción borra cualquier configuración anterior y contraseña asociada al TPM para permitir que el paquete suplementario de arranque medido de Citrix Hypervisor tome el control del TPM.

    Nota:

    Se requiere un reinicio después de este paso.

  5. Habilite TPM.

  6. Habilite Intel TXT.

Nota:

  • Se requiere un reinicio después de los pasos 5 y 6.
  • La configuración del BIOS varía según el fabricante del hardware. Consulte la documentación de hardware para ver cómo habilitar TPM y TXT para su entorno específico.

Instalar el paquete suplementario

Utilice la CLI de Citrix Hypervisor para instalar este paquete suplementario. Al igual que con cualquier actualización de software, le recomendamos que realice una copia de seguridad de sus datos antes de aplicar este paquete complementario.

Los paquetes suplementarios se pueden transmitir dentro de un archivo zip . Si la ISO del paquete suplementario está contenida en un archivo zip, descomprima este archivo zip (para producir la imagen ISO del disco), antes de llevar a cabo los pasos que se indican a continuación.

Instalar en un sistema Citrix Hypervisor en ejecución

  1. Descargue el Supplemental Pack directamente en el host de Citrix Hypervisor para actualizarlo.

    Recomendamos almacenarlo en el/tmp/ directorio.

    También puede descargar el archivo en un equipo conectado a Internet y grabar la imagen ISO en un CD.

  2. Utilice XenCenter para acceder a la consola del host de Citrix Hypervisor o utilice el shell seguro (SSH) para iniciar sesión directamente.

  3. El método más simple es instalar directamente desde el archivo ISO. Escriba lo siguiente:

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.0-measured-boot.iso
    

    Alternativamente, si elige grabar el ISO en un CD, debe montar el disco. Por ejemplo, para un CD-ROM, escriba lo siguiente:

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    
  4. Para que los cambios surtan efecto, reinicie el host.

Reinstalación

Si va a instalar este paquete suplementario encima de una versión anterior, confirme la sobrescritura de la instalación anterior. EscribaY cuando se le solicite durantexe-install-supplemental-pack la instalación.

Actualizar contraseña predeterminada

En versiones anteriores del paquete complementario, la contraseña predeterminada se establecióxenroot con una nueva línea final. Esta nueva línea final se ha eliminado para la contraseña predeterminada en esta versión del paquete complementario con la nueva contraseña predeterminada siendoxenroot.

Se puede establecer una contraseña personalizada/opt/xensource/tpm/config y debe ser un hash sha1 de una contraseña de texto sin formato, que se puede generar conecho -n <password | sha1sum . Si-n se omite en esta línea de comandos, se incluye una nueva línea final en la contraseña.

Establecer etiquetas de activos

Las etiquetas de activos se pueden establecer utilizando el/opt/xensource/tpm/xentpm binario con los--tpm_set_asset_tag métodos--tpm_clear_asset_tag y, o también se pueden establecer mediante eltpm complemento API de administración con eltpm_set_asset_tag (tomando un argumento ‘tag’) ytpm_clear_asset_tag las funciones:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Nota:

Se requiere un reinicio después de este paso.

Más información

Para descargar el paquete suplementario de arranque medido, consulte laCitrix Hypervisor 8.0 Premium Editionpágina.

Si tiene alguna dificultad con la instalación de este paquete complementario, póngase en contacto conSoporte técnico de Citrix.

Para obtener documentación sobre Citrix Hypervisor 8.0, visite elDocumentación del producto Citrixsitio Web.