Os hosts do ESXi podem usar chips Trusted Platform Modules (TPM), que são criptoprocessadores seguros que aprimoram a segurança do host, fornecendo uma garantia de confiança enraizada no hardware em oposição ao software.

O TPM é um padrão em todo o setor para criptoprocessadores seguros. Os chips TPM são encontrados na maioria dos computadores atuais, de laptops a desktops e servidores. O vSphere 6.7 e versões posteriores oferecem suporte à versão 2.0 do TPM.

Um chip TPM 2.0 atesta a identidade de um ESXi host. O atestado de host é o processo de autenticação e atestado do estado do software do host em um determinado momento. A inicialização segura da UEFI, que garante que apenas o software assinado seja carregado no momento da inicialização, é um requisito para uma certificação bem-sucedida. O chip TPM 2.0 registra e armazena com segurança as medições dos módulos de software inicializados no sistema, que vCenter Server verifica remotamente.

As etapas de alto nível do processo de atestado remoto são:

  1. Estabeleça a confiabilidade do TPM remoto e crie uma Chave de Atestado (AC) nele.

    Quando um host ESXi é adicionado, reinicializado ou reconectado a vCenter Server, o vCenter Server solicita uma AK do host. Parte do processo de criação do AK também envolve a verificação do hardware TPM em si, para garantir que um fornecedor conhecido (e confiável) o tenha produzido.

  2. Recupere o relatório de atestado do host.

    O vCenter Server solicita que o host envie um relatório de atestado, que contém uma cotação de registros de configuração de plataforma (RCPs), assinados pelo TPM e outros metadados binários de host assinados. Ao verificar se as informações correspondem a uma configuração considerada confiável, um vCenter Server identifica a plataforma em um host anteriormente não confiável.

  3. Verifique a autenticidade do host.

    O vCenter Server verifica a autenticidade da citação assinada, infere as versões de software e determina a confiabilidade dessas versões de software. Se vCenter Server determinar que a cotação assinada é inválida, a confirmação remota falhará e o host não será confiável.

Para usar um chip TPM 2.0, seu ambiente do vCenter Server deve atender a estes requisitos:

  • vCenter Server 6.7 ou posterior
  • Host do ESXi 6.7 ou posterior com o chip TPM 2.0 instalado e habilitado na UEFI
  • UEFI Secure Boot enabled

Certifique-se de que o TPM esteja configurado no BIOS do host do ESXi para usar o algoritmo de hash SHA-256 e a interface TIS / PEPS (First-In, First-Out) e não CRB (Command Response Buffer). Para obter informações sobre como definir essas opções de BIOS necessárias, consulte a documentação do fornecedor.

Revise os chips TPM 2.0 certificados por VMware no seguinte local:

https://www.vmware.com/resources/compatibility/search.php

Quando você inicializa um host ESXi com um chip TPM 2.0 instalado, o vCenter Server monitora o status de atestado do host. O vSphere Client exibe o status de confiança do hardware na guia Resumo (Summary) do vCenter Server em Segurança (Security) com os seguintes alarmes:

  • Verde: status normal, indicando confiança total.
  • Vermelho: falha no atestado.
Observação: Se você adicionar um chip TPM 2.0 a um host ESXi que o vCenter Server já gerencia, deverá primeiro desconectar o host e, em seguida, reconectá-lo. Consulte a documentação do vCenter Server e gerenciamento de host para obter informações sobre como desconectar e reconectar hosts.