セキュアブートとvTPM
セキュアブートは、システムの起動を担当するUnified Extensible Firmware Interface (UEFI) の機能です。これにより、起動プロセス中に信頼できるソフトウェアのみがロードされることが保証されます。
Trusted Platform Module (TPM) は、暗号化キーやその他の機密データを安全に保存するためのハードウェアチップです。Virtual Trusted Platform Module (vTPM) はTPMと同じ機能を実行しますが、暗号化コプロセッサ機能をソフトウェアで実行します。TPMはセキュリティを強化できますが、セキュアブートの要件ではありません。
サポートされているハイパーバイザーの詳細については、以下を参照してください。
- AWSにおけるセキュアブートとNitroTPM
- グーグル クラウド プラットフォームにおけるセキュアブートとvTPM
- マイクロソフト アジュールにおけるセキュアブートとvTPM
- Nutanix Prism CentralにおけるセキュアブートとvTPMに関する情報
- VMwareにおけるvTPMに関する情報
- XenServer®におけるセキュアブートとvTPM
AWSにおけるセキュアブートとNitroTPM
AWS環境では、NitroTPMおよび/またはUEFIセキュアブートが有効なマスターイメージ (AMI) を選択できます。したがって、カタログでプロビジョニングされたVMもNitroTPMおよび/またはUEFIセキュアブートが有効になります。この実装により、VMが保護され、信頼できるものになります。NitroTPMおよびUEFIセキュアブートの詳細については、Amazonドキュメントを参照してください。NitroTPMおよびUEFIセキュアブートが有効なカタログの作成については、VMインスタンスのNitroTPMおよびUEFIセキュアブートを有効にするを参照してください。
グーグル クラウド プラットフォームにおけるセキュアブートとvTPM
Google Cloud Platform (GCP) でシールドされた仮想マシンをプロビジョニングできます。シールドされたVMの検証可能な整合性は、以下の機能を使用することで実現されます。
- セキュアブート
- vTPM対応の測定済みブート
- 整合性監視
シールドされたVMでカタログを作成するためのPowerShellの使用について詳しくは、「Using PowerShell to create a catalog with shielded VM」を参照してください。
注:
マスターイメージにWindows 11をインストールする場合は、マスターイメージ作成プロセス中にvTPMを有効にする必要があります。また、カタログ作成にマシンプロファイルを使用する場合は、マシンプロファイルソース(VMまたはインスタンステンプレート)でvTPMを有効にする必要があります。単一テナントノードでのWindows 11 VMの作成について詳しくは、「Create Windows 11 VMs on the sole-tenant node」を参照してください。
マイクロソフト アジュールにおけるセキュアブートとvTPM
Azure環境では、Trusted Launchが有効なマシンカタログを作成できます。Azureは、第2世代VMのセキュリティを向上させるシームレスな方法としてTrusted Launchを提供します。Trusted Launchは、高度で永続的な攻撃手法から保護します。Trusted Launchを有効にするには、マシンプロファイルベースのカタログ構成を使用します。Trusted Launchの根幹にあるのは、VMのSecure Bootです。Trusted Launchは、クラウドによるリモートアテステーションを実行するためにvTPMも使用します。これは、プラットフォームの健全性チェックと、信頼に基づく意思決定に使用されます。Secure BootとvTPMは個別に有効にできます。 Trusted Launchでマシンカタログを作成する方法について詳しくは、「Machine catalogs with Trusted launch」を参照してください。
ニュータニックス・プリズム・セントラルにおけるセキュアブートとvTPM
MCSは、Nutanix Prism CentralでvTPM、UEFI、およびSecure Bootを使用してマシンカタログを作成することをサポートしています。vTPMとUEFI Secure Bootが有効なマスターイメージ(テンプレート)を選択できます。
Nutanix Prism Centralでは、UEFI Secure BootにvTPMは必要ありません。ただし、vTPMをVMにリンクするには、Secure Bootが有効かどうかにかかわらず、VMがUEFIで起動されている必要があります。
さらに、ブイティーピーエム、ユーイーエフアイ、およびセキュアブートが有効な仮想マシンは、ニュータニックス・プリズム・セントラルからインポートでき、シトリックス・バーチャル・アップス・アンド・デスクトップスによって電源管理できます。
NutanixはvTPMとUEFI Secure Bootをサポートしています。以下を参照してください。
- AHVでのvTPM(バーチャル トラステッド プラットフォーム モジュール)のサポート(https://portal.nutanix.com/page/documents/kbs/details?targetId=kA07V000000LXKwSAO)。
- VMのセキュアブートサポート
- 仮想トラステッドプラットフォームモジュールによるAHV VMの保護
VMwareにおけるvTPMの概要
MCSはvTPMを使用したマシンカタログの作成をサポートしています。マスターイメージにWindows 11がインストールされている場合、マスターイメージでvTPMを有効にすることが要件となります。マシンプロファイルベースの構成が使用され、vTPMが有効になっている場合、カタログ内のVMはVMテンプレートから同じvTPMコンテンツを継承します。マシンプロファイルが使用されておらず、マスターイメージでvTPMが有効になっている場合、カタログ内のVMは空のvTPMを持ちます。詳細については、「マシンプロファイルを使用してマシンカタログを作成する」(/ja-jp/citrix-virtual-apps-desktops/2511/install-configure/machine-catalogs-create/create-machine-catalog-vmware.html#create-a-machine-catalog-using-a-machine-profile)を参照してください。
XenServer®のセキュアブートとブイティーピーエム
XenServerは、サポートされている一部のVMオペレーティングシステムでUEFI Secure Bootを提供します。Secure Bootは、署名されていない、誤って署名された、または変更されたバイナリが起動中に実行されるのを防ぎます。Secure Bootを強制するUEFI対応VMでは、すべてのドライバーが署名されている必要があります。詳細については、ゲストUEFIとSecure Bootを参照してください。
XenServer 8では、UEFI Secure BootにvTPMは必要ありません。ただし、vTPMをVMにリンクするには、Secure Bootが有効かどうかにかかわらず、そのVMがUEFIで起動されている必要があります。Windows 11 VMにはリンクされたvTPMが必要であり、提供されたテンプレートからWindows 11 VMが作成されるときに自動的に作成されます。他のオペレーティングシステムの場合、vTPMはオプションです。詳細については、vTPMを参照してください。