セキュアブートとvTPM
セキュアブートは、システムの起動を担うUnified Extensible Firmware Interface (UEFI) の機能です。これにより、起動プロセス中に信頼できるソフトウェアのみがロードされることが保証されます。
Trusted Platform Module (TPM) は、暗号化キーやその他の機密データを安全に保存するためのハードウェアチップです。Virtual Trusted Platform Module (vTPM) は、TPMと同じ機能を実行しますが、暗号化コプロセッサ機能をソフトウェアで実行します。TPMはセキュリティを強化できますが、セキュアブートの要件ではありません。
サポートされているハイパーバイザーの詳細については、以下を参照してください。
- AWSでのセキュアブートとNitroTPM
- グーグル クラウド プラットフォームにおけるセキュアブートとvTPM
- マイクロソフト アジュールにおけるセキュアブートとvTPM
- ニュータニックス プリズム セントラルでのセキュアブートとvTPM
- ヴイエムウェアでのvTPM
- XenServer®におけるセキュアブートとvTPM
AWSでのセキュアブートとNitroTPM
AWS環境では、NitroTPMおよび/またはUEFIセキュアブートが有効になっているマスターイメージ (AMI) を選択できます。これにより、カタログでプロビジョニングされたVMもNitroTPMおよび/またはUEFIセキュアブートが有効になります。この実装により、VMのセキュリティと信頼性が確保されます。NitroTPMおよびUEFIセキュアブートの詳細については、Amazonのドキュメントを参照してください。NitroTPMおよびUEFIセキュアブートが有効なカタログの作成については、VMインスタンスのNitroTPMおよびUEFIセキュアブートを有効にするを参照してください。
グーグル クラウド プラットフォームにおけるセキュアブートとvTPM
Google Cloud Platform (GCP) でシールドされた仮想マシンをプロビジョニングできます。シールドされたVMの検証可能な整合性は、次の機能を使用することで実現されます。
- セキュアブート
- vTPM対応の測定済みブート
- 整合性監視
シールドされたVMでカタログを作成するためのPowerShellの使用方法の詳細については、「Using PowerShell to create a catalog with shielded VM」を参照してください。
注:
マスターイメージにWindows 11をインストールする場合、マスターイメージ作成プロセス中にvTPMを有効にする必要があります。また、カタログ作成にマシンプロファイルを使用する場合、マシンプロファイルソース(VMまたはインスタンステンプレート)でvTPMを有効にする必要があります。単一テナントノードでのWindows 11 VMの作成については、「Create Windows 11 VMs on the sole-tenant node」を参照してください。
マイクロソフト Azure におけるセキュアブートとvTPM
Azure環境では、Trusted Launchが有効なマシンカタログを作成できます。Azureは、第2世代VMのセキュリティを向上させるシームレスな方法としてTrusted Launchを提供します。Trusted Launchは、高度で永続的な攻撃手法から保護します。Trusted Launchを有効にするには、マシンプロファイルベースのカタログ構成を使用します。Trusted Launchの根幹にあるのは、VMのSecure Bootです。Trusted Launchは、クラウドによるリモートアテステーションを実行するためにvTPMも使用します。これは、プラットフォームの健全性チェックと、信頼に基づく決定を行うために使用されます。Secure BootとvTPMは個別に有効にできます。 Trusted Launchでマシンカタログを作成する方法の詳細については、「Machine catalogs with Trusted launch」を参照してください。
ニュータニックス プリズムセントラル におけるセキュアブートとvTPM
MCSは、Nutanix Prism Centralを使用して、vTPM、UEFI、およびSecure Bootを備えたマシンカタログの作成をサポートしています。vTPMとUEFI Secure Bootが有効なマスターイメージ(テンプレート)を選択できます。
Nutanix Prism Centralでは、UEFI Secure BootはvTPMを必要としません。ただし、vTPMをVMにリンクするには、Secure Bootが有効であるかどうかにかかわらず、VMはUEFIで起動されている必要があります。
さらに、vTPM、UEFI、およびセキュアブートが有効なVMは、Nutanix Prism Centralからインポート可能であり、Citrix Virtual Apps and Desktopsによって電源管理を行うことができます。
NutanixはvTPMとUEFI Secure Bootをサポートしています。以下を参照してください。
VMwareにおける仮想TPM
MCSはvTPMを使用したマシンカタログの作成をサポートしています。マスターイメージにWindows 11がインストールされている場合、マスターイメージでvTPMを有効にすることが必須です。マシンプロファイルベースの構成が使用され、vTPMが有効になっている場合、カタログ内のVMはVMテンプレートから同じvTPMコンテンツを継承します。マシンプロファイルが使用されておらず、マスターイメージでvTPMが有効になっている場合、カタログ内のVMは空のvTPMを持ちます。詳細については、「マシンプロファイルを使用してマシンカタログを作成する」を参照してください。
XenServer® 向けのセキュアブートとvTPM
XenServerは、サポートされている一部のVMオペレーティングシステムでUEFI Secure Bootを提供します。Secure Bootは、署名されていない、誤って署名された、または変更されたバイナリが起動時に実行されるのを防ぎます。Secure Bootを強制するUEFI対応VMでは、すべてのドライバーが署名されている必要があります。詳細については、「ゲストUEFIとSecure Boot」を参照してください。
XenServer 8では、UEFI Secure BootにvTPMは必要ありません。ただし、vTPMをVMにリンクするには、Secure Bootが有効になっているかどうかにかかわらず、そのVMがUEFIで起動されている必要があります。Windows 11 VMにはリンクされたvTPMが必要であり、提供されたテンプレートからWindows 11 VMが作成されるときに自動的に作成されます。他のオペレーティングシステムの場合、vTPMはオプションです。詳細については、「vTPM」を参照してください。