Citrix Hypervisor

Measured Boot Supplemental Pack

Le Citrix Hypervisor Measured Boot Supplemental Pack permet aux clients de mesurer les composants clés de leurs hôtes Citrix Hypervisor au démarrage. Il fournit également des API qui permettent aux solutions d’attestation à distance de collecter ces mesures en toute sécurité. Ce pack supplémentaire est compatible avec les systèmes informatiques Intel qui prennent en charge la technologie TXT ( Trusted Execution Technology ).

Ce pack supplémentaire est disponible au téléchargement sur la page Citrix Hypervisor 8.2 Premium Edition .

Remarque :

Le Measured Boot Supplemental Pack est disponible pour les clients Citrix Hypervisor Premium Edition, ou ceux qui ont accès à Citrix Hypervisor via leur droit Citrix Virtual Apps and Desktops ou Citrix DaaS.

Arrière-plan

Après l’installation de ce pack supplémentaire, lors du prochain démarrage d’un serveur Citrix Hypervisor, le TXT d’Intel prend des mesures des composants système de bas niveau (tels que le microprogramme, le BIOS, l’hyperviseur Xen, le noyau dom0 et le dom0 initrd). Ces mesures sont stockées dans un emplacement sécurisé sur l’hôte connu sous le nom de module TPM (Trusted Platform Module ). Une nouvelle interface est fournie aux clients, telle qu’une solution d’attestation à distance, afin de collecter ces mesures en toute sécurité.

attestation à distance

Les solutions d’attestation à distance fonctionnent en se connectant à un serveur Citrix Hypervisor dont l’état « bon a été vérifié ». Il peut interroger à distance et en toute sécurité le module de plateforme sécurisée du serveur Citrix Hypervisor pour obtenir une liste des mesures système clés de bas niveau. Il enregistre ces mesures dans une « liste blanche » ou une liste de mesures « dont le bon état a été vérifié ».

À ce stade, le logiciel d’attestation à distance recueille périodiquement les mesures clés du système et les compare à sa liste de « biens connus ».

Un hôte est considéré comme « non approuvé » dans les cas suivants :

  • Si le logiciel d’attestation à distance n’est pas en mesure de collecter les mesures
  • Si les mesures changent
  • Si les clés cryptographiques ne sont pas valides

Dans ce cas, le client en est informé. Les logiciels d’orchestration de niveau supérieur, tels que CloudStack, OpenStack ou les logiciels d’équilibrage de la charge de travail peuvent effectuer des opérations de sécurité intelligentes sur les hôtes concernés.

Préparez le serveur Citrix Hypervisor

Pour que ce pack supplémentaire fonctionne correctement, avant de tenter de collecter des données, modifiez les paramètres suivants dans le BIOS de leur hôte :

  1. Configurez le serveur Citrix Hypervisor pour démarrer en mode hérité.

    Remarque :

    Le mode de démarrage UEFI n’est pas pris en charge avec le démarrage mesuré.

  2. Activez Intel AES-NI.

  3. Activez TPM Security ou Activez avec des mesures de pré-démarrage .

  4. Effacez le TPM.

    Cette action efface tous les paramètres et mots de passe précédents associés au module de plateforme sécurisée pour permettre au Citrix Hypervisor Measured Boot Supplemental Pack de prendre le contrôle du module de plateforme sécurisée.

    Remarque :

    Un redémarrage est nécessaire après cette étape.

  5. Activez le TPM.

  6. Activez Intel TXT.

Remarque :

  • Un redémarrage est nécessaire après l’étape 5 et l’étape 6.
  • Les paramètres du BIOS varient selon le fabricant du matériel. Consultez la documentation de votre matériel pour savoir comment activer le TPM et le TXT pour leur environnement spécifique.

Installez le pack supplémentaire

Utilisez l’interface de ligne de commande Citrix Hypervisor pour installer ce pack supplémentaire. Comme pour toute mise à jour logicielle, nous vous conseillons de sauvegarder vos données avant d’appliquer ce pack supplémentaire.

Les packs supplémentaires peuvent être transmis dans un fichier zip . Si l’ISO du pack supplémentaire est contenue dans un fichier zip, décompressez ce fichier zip (pour produire l’image ISO du disque), avant d’effectuer les étapes ci-dessous.

Installation sur un système Citrix Hypervisor en cours d’exécution

  1. Téléchargez le pack supplémentaire directement sur l’hôte Citrix Hypervisor pour le mettre à jour.

    Nous vous recommandons de le stocker dans le /tmp/ répertoire.

    Vous pouvez également télécharger le fichier sur un ordinateur connecté à Internet et graver l’image ISO sur un CD.

  2. Utilisez XenCenter pour accéder à la console de l’hôte Citrix Hypervisor, ou utilisez Secure Shell (SSH) pour vous connecter directement.

  3. La méthode la plus simple consiste à installer directement à partir du fichier ISO. Saisissez ce qui suit :

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.2-measured-boot.iso
    <!--NeedCopy-->
    

    Sinon, si vous choisissez de graver l’ISO sur un CD, vous devez monter le disque. Par exemple, pour un CD-ROM, entrez ce qui suit :

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    <!--NeedCopy-->
    
  4. Pour que les modifications prennent effet, redémarrez votre hôte.

Réinstallation

Si vous installez ce pack supplémentaire en plus d’une version précédente, confirmez le remplacement de l’installation précédente. Entrez Y lorsque vous y êtes invité pendant xe-install-supplemental-pack l’installation.

Mise à jour du mot de passe par défaut

Dans les versions précédentes du pack supplémentaire, le mot de passe par défaut était défini sur xenroot avec un saut de ligne final. Ce retour à la ligne de fin a été supprimé pour le mot de passe par défaut dans cette version du pack supplémentaire, le nouveau mot de passe par défaut étant xenroot.

Un mot de passe personnalisé peut être défini dans /opt/xensource/tpm/config et doit être un hachage sha1 d’un mot de passe en texte brut, qui peut être généré avec echo -n <password | sha1sum. Si -n est omis de cette ligne de commande, un saut de ligne final est inclus dans le mot de passe.

Définir des balises d’actifs

Les balises d’actifs peuvent être définies à l’aide du binaire/opt/xensource/tpm/xentpm avec les méthodes --tpm_set_asset_tag et --tpm_clear_asset_tag, ou à l’aide du plug-in d’API de gestion tpm avec l’outil tpm_set_asset_tag ( en prenant un argument ‘tag’) et les fonctions tpm_clear_asset_tag:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag
<!--NeedCopy-->

Remarque :

Un redémarrage est nécessaire après cette étape.

Informations supplémentaires

Pour télécharger le Measured Boot Supplemental Pack, consultez la page Citrix Hypervisor 8.2 Premium Edition .

Si vous rencontrez des difficultés lors de l’installation de ce pack supplémentaire, contactez le support technique Citrix.

Pour consulter la documentation de Citrix Hypervisor 8.2, consultez le site Web de documentation des produits Citrix .

Measured Boot Supplemental Pack