Citrix Virtual Apps and Desktops

セキュアブート

セキュアブートは、信頼できるソフトウェアのみがシステムの起動に使用されるように設計されています。ファームウェアには、信頼できる証明書のデータベースがあり、ロードするイメージがいずれかの信頼できる証明書によって署名されていることを確認します。そのイメージがさらに別のイメージをロードする場合、その別のイメージも同じ方法で確認する必要があります。 vTPM は、従来の物理TPMモジュールを仮想化したソフトウェアインスタンスです。vTPMは、仮想マシンのブートチェーン全体(UEFI、OS、システム、およびドライバー)を測定することにより、構成証明を有効にします。

サポートされているクラウドサービスについて詳しくは、以下を参照してください:

Google Cloud Platformでのセキュアブート

シールドされた仮想マシンをGCPでプロビジョニングできます。シールドされた仮想マシンは、セキュアブート、仮想トラステッドプラットフォームモジュール、UEFIファームウェア、整合性監視などの高度なプラットフォームセキュリティ機能を使用して、Compute Engineインスタンスの検証可能な整合性を提供する一連のセキュリティ制御によって強化されます。

PowerShellを使用してシールドされたVMでカタログを作成する方法について詳しくは、「PowerShellを使用してシールドされたVMでカタログを作成する」を参照してください。

Microsoft Azureでのセキュアブート

Azure環境で、トラステッド起動を有効にしたマシンカタログを作成できます。Azureでは、第2世代VMのセキュリティをシームレスに向上させる方法として、トラステッド起動が提供されています。トラステッド起動は、高度かつ永続的な攻撃手法からの保護を提供します。トラステッド起動の根底にあるのは、VMのセキュアブートです。トラステッド起動は、vTPMを使用してクラウドによるリモート構成証明も実行します。これは、プラットフォームのヘルスチェックと、信頼ベースの決定を行うために使用されます。セキュアブートとvTPMを個別に有効にすることができます。トラステッド起動によるマシンカタログの作成について詳しくは、「トラステッド起動を使用したマシンカタログ」を参照してください。

VMwareでのセキュアブート

MCSは、vTPMが組み込まれたVMwareテンプレートをマシンプロファイルの入力のソースとして使用した、マシンカタログの作成をサポートします。Windows 11がマスターイメージにインストールされている場合は、マスターイメージでvTPMを有効にすることが要件です。したがって、マシンプロファイルのソースであるVMwareテンプレートには、vTPMが組み込まれている必要があります。詳しくは、「マシンプロファイルを使用してマシンカタログを作成する」を参照してください。

セキュアブート