Pack supplémentaire de démarrage mesuré

Le Pack supplémentaire de démarrage mesuré Citrix Hypervisor permet aux clients de mesurer les composants clés de leurs hôtes Citrix Hypervisor au démarrage. Il fournit également des API qui permettent aux solutions d’attestation à distance de collecter ces mesures en toute sécurité. Ce pack supplémentaire est compatible avec les systèmes informatiques Intel qui prennent en charge la technologie TXT ( Trusted Execution Technology ).

Ce pack supplémentaire est disponible en téléchargement à partir de la page Citrix Hypervisor 8.0 Édition Premium.

Remarque :

le pack supplémentaire de démarrage mesuré est disponible pour les clients Citrix Hypervisor Premium Edition ou les clients qui ont accès à Citrix Hypervisor via leur droit Citrix Virtual Apps and Desktops.

Arrière-Plan

Après l’installation de ce Pack supplémentaire, lorsqu’un serveur Citrix Hypervisor démarre, le TXT d’Intel prend les mesures des composants système de bas niveau (tels que le microprogramme, le BIOS, l’hyperviseur Xen, le noyau dom0 et le dom0 initrd) et les stocke dans un emplacement sécurisé sur l’hôte connu sous le nom de Module de plateforme (TPM). Une nouvelle interface est fournie aux clients, telle qu’une solution d’attestation à distance, pour collecter ces mesures en toute sécurité.

Attestation à distance

Les solutions d’attestation à distance fonctionnent en se connectant à un serveur Citrix Hypervisor qui est dans un état propre « bien connu ». Il peut interroger à distance et en toute sécurité le module de plateforme sécurisée du serveur Citrix Hypervisor pour obtenir une liste de mesures système clés de bas niveau. Il stocke ces mesures dans une liste de mesures « liste blanche » ou « bien connu ».

À ce stade, le logiciel d’attestation à distance recueille périodiquement les mesures clés du système et les compare à sa liste des « produits connus ».

Un hôte est considéré comme « non fiable » dans les cas suivants :

  • Si le logiciel d’attestation à distance n’est pas en mesure de collecter les mesures
  • Si les mesures changent
  • Si les clés cryptographiques ne sont pas valides

Dans ce cas, le client est averti. Les logiciels d’orchestration de plus haut niveau, tels que CloudStack, OpenStack ou les logiciels d’équilibrage de la charge de travail, peuvent effectuer des opérations de sécurité intelligentes sur les hôtes concernés.

Préparer le serveur Citrix Hypervisor

Pour que ce pack supplémentaire fonctionne correctement, avant de tenter de collecter des données, modifiez les paramètres suivants dans le BIOS de leur hôte :

  1. Configurez le serveur Citrix Hypervisor pour qu’il démarre en mode hérité.

    Remarque :

    Le mode de démarrage UEFI n’est pas pris en charge avec le démarrage mesuré.

  2. Activer Intel AES-NI.

  3. Activez TPM Security ou Activez avec des mesures de pré-démarrage .

  4. Effacer le module de plateforme sécurisée.

    Cette action efface tous les paramètres et mots de passe précédents associés au module de plateforme sécurisée pour permettre au pack supplémentaire de démarrage mesuré Citrix Hypervisor de prendre le contrôle du module de plateforme sécurisée.

    Remarque :

    Un redémarrage est nécessaire après cette étape.

  5. Activer le module de plateforme sécurisée.

  6. Activer Intel TXT.

Remarque :

  • Un redémarrage est nécessaire après les étapes 5 et 6.
  • Les paramètres du BIOS varient en fonction du fabricant du matériel. Consultez la documentation matérielle pour savoir comment activer le TPM et le TXT pour leur environnement spécifique.

Installer le pack supplémentaire

Utilisez l’interface de ligne de commande Citrix Hypervisor pour installer ce Pack supplémentaire. Comme pour toute mise à jour logicielle, nous vous conseillons de sauvegarder vos données avant d’appliquer ce pack supplémentaire.

Les packs supplémentaires peuvent être transmis dans un fichier zip . Si l’ISO du Pack Supplemental est contenu dans un fichier zip, décompressez ce fichier zip (pour produire l’image ISO du disque), avant d’effectuer les étapes ci-dessous.

Installation sur un système Citrix Hypervisor en cours d’exécution

  1. Téléchargez le Pack supplémentaire directement sur l’hôte Citrix Hypervisor à mettre à jour.

    Nous vous recommandons de le stocker dans le/tmp/ répertoire.

    Vous pouvez également télécharger le fichier sur un ordinateur connecté à Internet et graver l’image ISO sur un CD.

  2. Utilisez XenCenter pour accéder à la console de l’hôte Citrix Hypervisor ou utilisez Secure Shell (SSH) pour ouvrir une session directement.

  3. La méthode la plus simple consiste à installer directement à partir du fichier ISO. Saisissez ce qui suit :

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.0-measured-boot.iso
    

    Sinon, si vous avez choisi de graver l’ISO sur un CD, vous devez installer le disque. Par exemple, pour un CD-ROM, entrez les éléments suivants :

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    
  4. Pour que les modifications prennent effet, redémarrez votre hôte.

Réinstallation

Si vous installez ce pack supplémentaire sur une version précédente, confirmez l’écrasement de l’installation précédente. EntrezY lorsque vous y êtes invité lors dexe-install-supplemental-pack l’installation.

Mise à jour du mot de passe par défaut

Dans les versions précédentes du pack supplémentaire, le mot de passe par défaut était définixenroot avec une nouvelle ligne de fin. Cette nouvelle ligne de fin a été supprimée pour le mot de passe par défaut dans cette version du pack supplémentaire, le nouveau mot de passe par défaut étantxenroot.

Un mot de passe personnalisé peut être défini/opt/xensource/tpm/config et doit être un hachage sha1 d’un mot de passe en texte brut, qui peut être généré avececho -n <password | sha1sum . Si cette ligne de commande-n est omise, une nouvelle ligne de fin est incluse dans le mot de passe.

Définir des balises d’actifs

Les balises d’actifs peuvent être définies à l’aide du/opt/xensource/tpm/xentpm binaire avec les--tpm_set_asset_tag méthodes--tpm_clear_asset_tag et, ou peuvent également être définies à l’aide dutpm plug-in API de gestion avec letpm_set_asset_tag (en prenant un argument ‘tag’) et lestpm_clear_asset_tag fonctions :

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Remarque :

Un redémarrage est nécessaire après cette étape.

Plus d’informations

Pour télécharger le pack supplémentaire de démarrage mesuré, consultez laCitrix Hypervisor 8.0 Édition Premiumpage.

Si vous rencontrez des difficultés avec l’installation de ce Pack supplémentaire, contactezAssistance technique Citrix.

Pour consulter la documentation Citrix Hypervisor 8.0, visitez leDocumentation produit Citrixsite Web.