Hola a Tod@s
En esta ocasión vengo hablarles de resumidamente de vSGX, así que vamos a ello.
Intel® Software Guard Extensions (Intel® SGX) ofrece cifrado de memoria basado en hardware que aísla el código de aplicación y los datos específicos en la memoria. Intel® SGX permite que el código a nivel de usuario asigne regiones privadas de memoria, llamadas enclaves, que están diseñadas para protegerse de los procesos que se ejecutan en niveles de privilegios más altos.
Esta tecnología no es una protección para las máquinas virtuales sino más bien una protección a nivel de CPU.
Requisitos de vSGX
Existen varios requisitos para habilitar la función vSGX en vSphere 7. ¿Cuáles son esos?
Requisitos de la CPU
- El host ESXi debe instalarse en una CPU compatible con SGX, y SGX debe estar habilitado en el BIOS del host ESXi.
Requisitos de la máquina virtual
- La máquina virtual debe ejecutar firmware EFI.
- La versión de hardware de VM debe ser la versión de hardware 17 o superior.
Requisitos de vCenter y ESXi
- Debe ejecutar vCenter Server 7.0 o superior.
- Debe ejecutar ESXi 7.0 o superior.
Sistemas operativos invitados compatibles
No todos los sistemas operativos son compatibles con esta tecnología, estos son los sistemas compatibles:
- Linux
- Windows Server 2016 (64 bits) y posterior.
- Windows 10 (64 bits) y posterior.
Limitaciones de vSGX
Hay algunas limitaciones que debe tener en cuenta al habilitar la función vSGX en su entorno vSphere 7.
- Uno de los puntos importantes es el uso de snapshot sobre máquinas virtuales que usen vSGX. Para que los snapshot sean compatibles estos no deben tener activo el snapshot a nivel de memoria.
- Las operaciones de vMotion y DRS no son compatibles, así que tenemos que planificar bien que maquina usaremos con vSGX.
- No se admiten las operaciones de suspensión y reanudación de máquinas virtuales.
- La tolerancia a fallas no es compatible.
- La base de integridad de invitados de VMware AppDefense no es compatible.
Habilitación de vSGX en vSphere 7
Se puede habilitar vSGX cuando crea o edita la máquina virtual. Se puede habilitar vSGX como parte de la configuración de hardware de la máquina virtual.
Aunque vSGX es una tecnología interesante, ya que el sistema operativo y el hipervisor quedan fuera de la ecuación, estos no pueden conocer el secreto, necesitamos cumplir con varios requisitos y además perdemos otro tanto de funcionabilidades claves de vSphere, en este caso aumentar la seguridad puede no ser para todas nuestras cargas de trabajo.
Otra cosa importante a tener en cuenta es que también necesitamos contar con aplicaciones que puedan sacar el provecho a esta tecnología.
Espero que esta información pueda ser de ayuda. Si tienes dudas o alguna acotación sobre este post, déjalo en comentarios. Saludos.
Nota: Imágenes tomadas de la documentación oficial de VMware.