Cómo resolver problemas con vTPM en FortiOS en Nutanix

En este artículo, abordaremos cómo habilitar el vTPM (Módulo de Plataforma de Confianza Virtual) en una Máquina Virtual FortiGate que se ejecuta en un entorno Nutanix. Este tema es crucial para garantizar la seguridad de los datos y la integridad de las operaciones, especialmente en entornos virtualizados. A través de una serie de pasos claros y concisos, este artículo le ayudará a configurar vTPM de manera efectiva para maximizar la seguridad de su infraestructura FortiGate.

Descripción del problema

El vTPM sirve como una representación basada en software del chip TPM 2.0 tradicional. Realiza las mismas funciones de seguridad basadas en hardware que un TPM, incluyendo la atestación, generación de claves y generación de números aleatorios, sin necesidad de un chip físico.

Alcance

FortiOS 7.2.9 o versiones más recientes.

Diagnóstico paso a paso

Para habilitar el vTPM, es necesario realizar varios pasos previos y de configuración que se describen a continuación.

Requisitos previos:

  • Un host Linux con acceso root (se recomienda utilizar Ubuntu 22.04.1 LTS, aunque cualquier distribución moderna sería suficiente).
  • Soporte de virtualización habilitado.
  • KVM instalado en el host.
  • Una Máquina Virtual FortiOS con un emulador TPM habilitado ya debe estar desplegada en los entornos KVM.

--tpm backend.type=emulator,backend.version=2.0,model=tpm-tis

Exportando desde KVM:

  • Realizará una copia de seguridad del disco duro y la configuración XML desde el host KVM.
  • El directorio predeterminado para la imagen del disco es:

/var/lib/libvirt/images/

  • El archivo de configuración XML normalmente se almacena en:

/etc/libvirt/qemu/

  • Si no están almacenados en la ubicación predeterminada, puede encontrar su posición utilizando el siguiente comando:
Artículos relacionados  Advertencia de certificado no confiable en fortigate para sitios HTTPS que usan certificados de servidor Entrust

virsh domblklist <VM-NAME>

  • Esto exportará el disco duro en formato QCOW desde KVM a Nutanix AHV. Para realizar una copia de seguridad de la imagen del disco y del archivo de configuración, utilice comandos como cp o rsync.

Importando en Nutanix:

  • Usará la imagen de disco exportada desde el entorno KVM para crear una personalizada en Nutanix y almacenarla en el contenedor deseado.
  • Crear una nueva Máquina Virtual.
  • Seguir el asistente de creación de VM de Nutanix.
  • En el menú de operaciones, seleccionar la opción «Clonar desde el Servicio de Imágenes».
  • Elegir la imagen creada en el paso anterior.
  • Los ajustes de la Máquina Virtual, tales como el número de vCPUs, memoria, interfaces de red y discos, deben ajustarse según las necesidades específicas.
  1. Configuraciones obligatorias:
  • Firmware UEFI: Habilitar UEFI pero asegurarse de que el arranque seguro esté desactivado.
  • Tipo de disco: Usar SCSI para el disco duro.
  1. Configuraciones recomendadas:
  • Al menos dos NICs (para manejar tráfico interno y externo).
  • Disco duro adicional (~30GB) para propósitos de registro.

Habilitar vTPM:
No encienda la Máquina Virtual después de haberla creado.

  1. Conéctese a cualquier Controller VM en el clúster de Nutanix utilizando SSH.
  2. En el prompt del CVM, escriba acli para ingresar al modo CLI de Acropolis.
  3. Habilite vTPM utilizando:

vm.update <vm-name> virtual_tpm=true

Reemplace <vm-name> con el nombre de la Máquina Virtual FortiGate.

Inicie la Máquina Virtual FortiGate. Se espera que esta tarde unos minutos en arrancar y que conserve la configuración y el registro presentes en la FortiGate desplegada en el entorno KVM (el disco duro importado es una copia sector por sector del original).

Artículos relacionados  Cómo solucionar el error de resolución de IP a dominio en los registros de tráfico de Fortinet

Solución recomendada

Verifique el vTPM:

Comprobando si el vTPM está habilitado y funciona correctamente, confirme utilizando el siguiente comando:

diagnose hardware deviceinfo tpm

diagnose tpm get-property

diagnose tpm selftest

Esto le ayudará a asegurar que el vTPM esté configurado correctamente y funcional en su entorno FortiGate.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *