Os hosts do ESXi podem usar chips Trusted Platform Modules (TPM), que são criptoprocessadores seguros que aprimoram a segurança do host fornecendo uma garantia de confiança enraizada no hardware, e não no software.

O que é um TPM

O TPM é um padrão do setor para criptoprocessadores seguros. Hoje, os chips TPM são encontrados na maioria dos computadores, de laptops a desktops e servidores. vSphere A versão 6.7 e posterior é compatível com o TPM versão 2.0.

Um chip do TPM 2.0 atesta uma identidade ESXi de um host. O atestado de host é o processo de autenticação e atestado do estado do software em um host em um determinado momento. A inicialização segura UEFI, que garante que apenas o software assinado seja carregado no momento da inicialização, é um requisito para o atestado bem-sucedido. O chip do TPM 2.0 registra e armazena com segurança as medições dos módulos de software inicializados no sistema, que vCenter Server verifica remotamente.

As etapas de alto nível do processo de atestado remoto são:

  1. Estabeleça a confiabilidade do TPM remoto e crie uma Chave de Atestado (AK) nele.

    Quando um host ESXi é adicionado, reinicializado ou reconectado a vCenter Server, vCenter Server solicita uma AK do host. Parte do processo de criação do AK também envolve a verificação do próprio hardware do TPM, para garantir que um fornecedor conhecido (e confiável) o tenha produzido.

  2. Recupere o Relatório de Atestado do host.

    vCenter Server solicita que o host envie um Relatório de Atestado, que contém uma cotação de Platform Configuration Registers (PCRs), assinado pelo TPM, e outros metadados binários de host assinados. Ao verificar se as informações correspondem a uma configuração considerada confiável, um vCenter Server identifica a plataforma em um host anteriormente não confiável.

  3. Verifique a autenticidade do host.

    vCenter Server verifica a autenticidade da cotação assinada, deduz as versões do software e determina a confiabilidade dessas versões do software. Se vCenter Server determinar que a cotação assinada é inválida, o atestado remoto falhará e o host não será confiável.

Quais são os vSphere requisitos para usar um TPM

Para usar um chip TPM 2.0, seu ambiente vCenter Server deve atender a estes requisitos:

  • vCenter Server 6.7 ou posterior
  • ESXi Host 6.7 ou posterior com chip TPM 2.0 instalado e ativado em UEFI
  • Inicialização segura UEFI ativada

Certifique-se de que o TPM esteja configurado no BIOS do host ESXi para usar o algoritmo de hash SHA-256 e a interface TIS/FIFO (First-In, First-Out) e não o CRB (Command Response Buffer). Para obter informações sobre como configurar essas opções de BIOS necessárias, consulte a documentação do fornecedor.

Revise os chips do TPM 2.0 certificados por VMware no seguinte local:

https://www.vmware.com/resources/compatibility/search.php

O que acontece quando você inicializa um host com um TPM

Quando você inicializa um host ESXi com um chip TPM 2.0 instalado, o vCenter Server monitora o status de atestado do host. Para visualizar o status de confiança do hardware, em vSphere Client, selecione vCenter Server e, em seguida, a guia Resumo (Summary) em Segurança (Security). O status de confiança do hardware é um dos seguintes:

  • Verde: status normal, indicando confiança total.
  • Vermelho: falha no atestado.
Observação: Se você adicionar um chip TPM 2.0 a um host ESXi que vCenter Server já gerencia, deverá primeiro desconectar o host e, em seguida, reconectá-lo. Consulte a documentação do vCenter Server e gerenciamento de host para obter informações sobre como desconectar e reconectar hosts.

Com o vSphere 7.0 e posterior, o VMware® vSphere Trust Authority™ usa recursos de atestado remoto para hosts ESXi. Consulte O que é o serviço de atestado do vSphere Trust Authority.

Exibir Status de Atestado de Host do ESXi

Quando adicionado a um host ESXi, um chip compatível com o Trusted Platform Module 2.0 atesta a integridade da plataforma. Você pode visualizar o status de atestado do host no vSphere Client. Você também pode visualizar o status da Intel Trusted Execution Technology (TXT).

Procedimento

  1. Conecte-se a vCenter Server usando o vSphere Client.
  2. Navegue até um centro de dados e clique na guia Monitor.
  3. Clique em Segurança (Security).
  4. Revise o status do host na coluna Atestado e leia a mensagem que o acompanha na coluna Mensagem.
  5. Se esse host for um host confiável, consulte Exibir o Status do Atestado de Cluster Confiável para obter mais informações.

O que Fazer Depois

Para obter um status de atestado de Falha ou Aviso, consulte Solucionar problemas de atestado de host do ESXi. Para hosts confiáveis, consulte Solucionar problemas de atestado de host confiável.

Solucionar problemas de atestado de host do ESXi

Quando você instala um dispositivo Trusted Platform Module (TPM) em um host ESXi, o host pode falhar ao passar no atestado. Você pode solucionar as possíveis causas desse problema.

Procedimento

  1. Visualize o status do alarme do host ESXi e a mensagem de erro que o acompanha. Consulte Exibir Status de Atestado de Host do ESXi.
  2. Se a mensagem de erro for A inicialização segura do host foi desativada, você deverá reativar a inicialização segura para resolver o problema.
  3. Se o status de atestado do host falhar, verifique o arquivo vCenter Server vpxd.log para ver a seguinte mensagem:
    Nenhuma chave de identidade em cache, carregando do banco de dados
    Essa mensagem indica que você está adicionando um chip TPM 2.0 a um host ESXi que vCenter Server já gerencia. Você deve primeiro desconectar o host e, em seguida, reconectá-lo. Consulte a documentação do vCenter Server e gerenciamento de host para obter informações sobre como desconectar e reconectar hosts.
    Para obter mais informações sobre vCenter Server arquivos de log, incluindo localização e rotação de log, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/1021804.
  4. Para todas as outras mensagens de erro, entre em contato com o Suporte ao cliente.