En este artículo, abordaremos cómo habilitar el vTPM (Módulo de Plataforma de Confianza Virtual) en una Máquina Virtual FortiGate que se ejecuta en un entorno Nutanix. Este tema es crucial para garantizar la seguridad de los datos y la integridad de las operaciones, especialmente en entornos virtualizados. A través de una serie de pasos claros y concisos, este artículo le ayudará a configurar vTPM de manera efectiva para maximizar la seguridad de su infraestructura FortiGate.
Índice
Descripción del problema
El vTPM sirve como una representación basada en software del chip TPM 2.0 tradicional. Realiza las mismas funciones de seguridad basadas en hardware que un TPM, incluyendo la atestación, generación de claves y generación de números aleatorios, sin necesidad de un chip físico.
Alcance
FortiOS 7.2.9 o versiones más recientes.
Diagnóstico paso a paso
Para habilitar el vTPM, es necesario realizar varios pasos previos y de configuración que se describen a continuación.
Requisitos previos:
- Un host Linux con acceso root (se recomienda utilizar Ubuntu 22.04.1 LTS, aunque cualquier distribución moderna sería suficiente).
- Soporte de virtualización habilitado.
- KVM instalado en el host.
- Una Máquina Virtual FortiOS con un emulador TPM habilitado ya debe estar desplegada en los entornos KVM.
--tpm backend.type=emulator,backend.version=2.0,model=tpm-tis
Exportando desde KVM:
- Realizará una copia de seguridad del disco duro y la configuración XML desde el host KVM.
- El directorio predeterminado para la imagen del disco es:
/var/lib/libvirt/images/
- El archivo de configuración XML normalmente se almacena en:
/etc/libvirt/qemu/
- Si no están almacenados en la ubicación predeterminada, puede encontrar su posición utilizando el siguiente comando:
virsh domblklist <VM-NAME>
- Esto exportará el disco duro en formato QCOW desde KVM a Nutanix AHV. Para realizar una copia de seguridad de la imagen del disco y del archivo de configuración, utilice comandos como
cporsync.
Importando en Nutanix:
- Usará la imagen de disco exportada desde el entorno KVM para crear una personalizada en Nutanix y almacenarla en el contenedor deseado.
- Crear una nueva Máquina Virtual.
- Seguir el asistente de creación de VM de Nutanix.
- En el menú de operaciones, seleccionar la opción «Clonar desde el Servicio de Imágenes».
- Elegir la imagen creada en el paso anterior.
- Los ajustes de la Máquina Virtual, tales como el número de vCPUs, memoria, interfaces de red y discos, deben ajustarse según las necesidades específicas.
- Configuraciones obligatorias:
- Firmware UEFI: Habilitar UEFI pero asegurarse de que el arranque seguro esté desactivado.
- Tipo de disco: Usar SCSI para el disco duro.
- Configuraciones recomendadas:
- Al menos dos NICs (para manejar tráfico interno y externo).
- Disco duro adicional (~30GB) para propósitos de registro.
Habilitar vTPM:
No encienda la Máquina Virtual después de haberla creado.
- Conéctese a cualquier Controller VM en el clúster de Nutanix utilizando SSH.
- En el prompt del CVM, escriba
aclipara ingresar al modo CLI de Acropolis. - Habilite vTPM utilizando:
vm.update <vm-name> virtual_tpm=true
Reemplace <vm-name> con el nombre de la Máquina Virtual FortiGate.
Inicie la Máquina Virtual FortiGate. Se espera que esta tarde unos minutos en arrancar y que conserve la configuración y el registro presentes en la FortiGate desplegada en el entorno KVM (el disco duro importado es una copia sector por sector del original).
Solución recomendada
Verifique el vTPM:
Comprobando si el vTPM está habilitado y funciona correctamente, confirme utilizando el siguiente comando:
diagnose hardware deviceinfo tpm
diagnose tpm get-property
diagnose tpm selftest
Esto le ayudará a asegurar que el vTPM esté configurado correctamente y funcional en su entorno FortiGate.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!