Protegendo a visão geral da configuração do ESXi

Você não precisa ativar a criptografia de configuração do ESXi manualmente. Quando você instala ou atualiza para o vSphere 7.0 Update 2 ou posterior, o arquivo de configuração arquivado ESXi é criptografado.

Antes do vSphere 7.0 Update 2, o arquivo de configuração ESXi arquivado não era criptografado. No vSphere 7.0 Update 2 e versões posteriores, o arquivo de configuração arquivado é criptografado. Quando o host ESXi é configurado com um Trusted Platform Module (TPM), o TPM é usado para "selar" a configuração para o host, fornecendo uma forte garantia de segurança.

ESXi Configuration Files Overview before vSphere 7.0 Update 2

A configuração de um host ESXi consiste em arquivos de configuração para cada serviço executado no host. Os arquivos de configuração normalmente residem no diretório / etc / , mas também podem residir em outros namespaces. Os arquivos de configuração contêm informações de tempo de execução sobre o estado dos serviços. Com o tempo, os valores padrão nos arquivos de configuração podem mudar, por exemplo, quando você altera as configurações no host ESXi. Um trabalho cron faz backup dos arquivos de configuração do ESXi periodicamente ou quando o ESXi é encerrado normalmente, ou sob demanda, e cria um arquivo de configuração arquivado no banco de inicialização. Quando o ESXi é reinicializado, ele lê o arquivo de configuração arquivado e recria o estado em que o ESXi estava quando o backup foi feito. Antes do vSphere 7.0 Update 2, o arquivo de configuração arquivado não era criptografado. Como resultado, é possível que um invasor que tenha acesso ao armazenamento físico do ESXi leia e altere esse arquivo enquanto o sistema estiver offline.

Visão geral da configuração do ESXi seguro

Durante a primeira inicialização após a instalação ou atualização do host ESXi para o vSphere 7.0 Update 2 ou posterior, ocorre o seguinte:

Se o host ESXi tiver um TPM e ele estiver ativado no firmware, o arquivo de configuração arquivado será criptografado por uma chave de criptografia armazenada no TPM. A partir desse ponto, a configuração do host é selada pelo TPM.
Se o host ESXi não tiver um TPM, o ESXi usará uma função de derivação de chave (KDF) para gerar uma chave de criptografia de configuração segura para o arquivo de configuração arquivado. As entradas para o KDF são armazenadas no disco no arquivo criptografia.info .

Observação: Quando um host ESXi tem um dispositivo TPM habilitado, você obtém proteção adicional.

Quando o host ESXi é reinicializado após a primeira inicialização, ocorre o seguinte:

Se o host ESXi tiver um TPM, o host deverá obter a chave de criptografia do TPM para esse host específico. Se as medidas de TPM atenderem à política de selagem que foi usada ao criar a chave de criptografia, o host obterá a chave de criptografia do TPM.
Se o host ESXi não tiver um TPM, o ESXi lerá as informações do arquivo criptografia.info para desbloquear a configuração segura.

Requisitos de configuração do ESXi seguro

ESXi 7.0 Atualização 2 ou posterior
TPM 2.0 para criptografia de configuração e capacidade de usar uma política de selagem

Chave de recuperação de configuração ESXi segura

Uma configuração de ESXi segura inclui uma chave de recuperação. Se você precisar recuperar a configuração segura do ESXi, use uma chave de recuperação cujo conteúdo você insere como uma opção de inicialização de linha de comando. Você pode listar a chave de recuperação para criar um backup da chave de recuperação. Você também pode girar a chave de recuperação como parte dos seus requisitos de segurança.

Fazer um backup da chave de recuperação é uma parte importante do gerenciamento de sua configuração segura do ESXi. vCenter Server gera um alarme para lembrá-lo de fazer backup da chave de recuperação.

Alarme de chave de recuperação

Fazer um backup da chave de recuperação é uma parte importante do gerenciamento de sua configuração segura do ESXi. Sempre que um host ESXi no modo TPM é conectado ou reconectado a vCenter Server, o vCenter Server gera um alarme para lembrá-lo de fazer backup da chave de recuperação. Quando você redefine o alarme, ele não é acionado novamente, a menos que as condições mudem.

Práticas recomendadas para configuração ESXi segura

Siga estas práticas recomendadas para a chave de recuperação:

Quando você lista uma chave de recuperação, ela é exibida temporariamente em um ambiente não confiável e está na memória. Remova vestígios da chave.
- A reinicialização do host remove a chave residual na memória.
- Para maior proteção, você pode habilitar o modo de criptografia no host. Consulte o Habilitar o modo de criptografia do host explicitamente.
Quando você executa uma recuperação:
- Para eliminar quaisquer vestígios da chave de recuperação em um ambiente não confiável, reinicie o host.
- Para maior segurança, gire a chave de recuperação para usar uma nova chave depois de ter recuperado a chave uma vez.