No vSphere 7.0 Update 2 e posterior, a configuração do ESXi é protegida por criptografia.

O que é uma configuração ESXi segura

Muitos serviços do ESXi armazenam segredos em seus arquivos de configuração. Essas configurações persistem no banco de inicialização de um host ESXi como um arquivo arquivado. Antes do vSphere 7.0 Update 2, o arquivo de configuração ESXi arquivado não era criptografado. No vSphere 7.0 Update 2 e versões posteriores, o arquivo de configuração arquivado é criptografado. Como resultado, os invasores não podem ler ou alterar esse arquivo diretamente, mesmo que tenham acesso físico ao armazenamento do host ESXi.

Além de impedir que um invasor acesse segredos, uma configuração ESXi segura, quando usada com um TPM, pode salvar chaves de criptografia de máquina virtual nas reinicializações. Quando o host ESXi é configurado com um TPM, o TPM é usado para "selar" a configuração do host, fornecendo uma forte garantia de segurança. Como resultado, as cargas de trabalho criptografadas podem continuar funcionando quando um servidor de chaves está indisponível ou inacessível. Consulte vSphere Persistência de chave em ESXi hosts.

Você não precisa ativar a criptografia de configuração ESXi manualmente. Quando você instala ou atualiza para o vSphere 7.0 Update 2 ou posterior, o arquivo de configuração ESXi arquivado é criptografado.

Para tarefas associadas a uma configuração segura do ESXi, consulte Gerenciar uma configuração segura do ESXi.

ESXi Arquivos de configuração anteriores ao vSphere 7.0 Update 2

A configuração de um host ESXi consiste em arquivos de configuração para cada serviço executado no host. Os arquivos de configuração normalmente residem no diretório /etc/, mas também podem residir em outros namespaces. Os arquivos de configuração contêm informações de tempo de execução sobre o estado dos serviços. Com o tempo, os valores padrão nos arquivos de configuração podem ser alterados, por exemplo, quando você altera as configurações no host ESXi. Uma tarefa cron faz backup dos arquivos de configuração do ESXi periodicamente, ou quando o ESXi é encerrado normalmente ou sob demanda, e cria um arquivo de configuração arquivado no banco de inicialização. Quando ESXi é reinicializado, ele lê o arquivo de configuração arquivado e recria o estado em que ESXi estava quando o backup foi feito. Antes do vSphere 7.0 Update 2, o arquivo de configuração arquivado não era criptografado. Como resultado, é possível que um invasor com acesso ao armazenamento físico ESXi leia e altere esse arquivo enquanto o sistema estiver offline.

Como a configuração segura do ESXi é implementada

Durante a primeira inicialização após a instalação ou atualização do host ESXi para o vSphere 7.0 Update 2 ou posterior, ocorre o seguinte:

  • Se o host ESXi tiver um TPM e ele estiver ativado no firmware, o arquivo de configuração arquivado será criptografado por uma chave de criptografia armazenada no TPM. Deste ponto em diante, a configuração do host é lacrada pelo TPM.
  • Se o host ESXi não tiver um TPM, o ESXi usará uma Função de Derivação de Chave (KDF) para gerar uma chave de criptografia de configuração segura para o arquivo de configuração arquivado. As entradas para o KDF são armazenadas em disco no arquivo encryption.info.
Observação: Quando um host ESXi tem um dispositivo TPM ativado, você ganha proteção adicional.

Quando o host ESXi é reinicializado após a primeira inicialização, ocorre o seguinte:

  • Se o host ESXi tiver um TPM, o host deverá obter a chave de criptografia do TPM para esse host específico. Se as medidas do TPM satisfizerem a política de vedação usada ao criar a chave de criptografia, o host obterá a chave de criptografia do TPM.
  • Se o host ESXi não tiver um TPM, ESXi lerá as informações do arquivo encryption.info para desbloquear a configuração segura.

Requisitos de configuração segura do ESXi

  • ESXi 7.0 Atualização 2 ou posterior
  • TPM 2.0 para criptografia de configuração e capacidade de usar uma política de vedação

Chave de recuperação de configuração segura ESXi

Uma configuração segura do ESXi inclui uma chave de recuperação. Se você precisar recuperar a configuração segura ESXi, use uma chave de recuperação cujo conteúdo você insere como uma opção de inicialização da linha de comando. Você pode listar a chave de recuperação para criar um backup da chave de recuperação. Você também pode alternar a chave de recuperação como parte dos seus requisitos de segurança.

Fazer um backup da chave de recuperação é uma parte importante do gerenciamento da configuração segura do ESXi. vCenter Server gera um alarme para lembrá-lo de fazer backup da chave de recuperação.

Alarme de chave de recuperação de configuração segura ESXi

Fazer um backup da chave de recuperação é uma parte importante do gerenciamento da configuração segura do ESXi. Sempre que um host ESXi no modo TPM é conectado ou reconectado a vCenter Server, vCenter Server gera um alarme para lembrá-lo de fazer backup da chave de recuperação. Quando você redefine o alarme, ele não é acionado novamente, a menos que as condições mudem.

Práticas recomendadas para configuração segura do ESXi

Siga estas práticas recomendadas para a chave de recuperação ESXi segura:

  • Quando você lista uma chave de recuperação, ela é exibida temporariamente em um ambiente não confiável e fica na memória. Remova os vestígios da chave.
  • Ao realizar uma recuperação:
    • Para eliminar quaisquer vestígios da chave de recuperação em um ambiente não confiável, reinicialize o host.
    • Para maior segurança, gire a chave de recuperação para usar uma nova chave depois de recuperá-la uma vez.

O que são políticas de vedação do TPM

Um TPM pode usar as medidas do Platform Configuration Register (PCR) para implementar políticas que restringem o acesso não autorizado a dados confidenciais. Quando você instala ou atualiza um host ESXi com um TPM para o vSphere 7.0 Atualização 2 e posterior, o TPM sela as informações confidenciais usando uma política que incorpora a configuração de inicialização segura. Essa política verifica se a inicialização segura foi ativada quando os dados foram lacrados pela primeira vez com o TPM, a inicialização segura ainda deverá ser ativada ao tentar cancelar o lacre dos dados em uma inicialização subsequente.

A inicialização segura faz parte do padrão de firmware UEFI. Com o UEFI Secure Boot ativado, um host se recusa a carregar qualquer driver ou aplicativo UEFI, a menos que o carregador de inicialização do sistema operacional tenha uma assinatura digital válida.

Você pode optar por desativar ou ativar a imposição de inicialização segura UEFI. Consulte Ativar ou desativar a imposição de inicialização segura para uma configuração ESXi segura.

Observação: Se você não ativar um TPM ao instalar ou atualizar para o vSphere 7.0 Update 2 ou posterior, poderá fazer isso posteriormente com o seguinte comando.
esxcli system settings encryption set --mode=TPM
Depois de ativar o TPM, você não poderá desfazer a configuração.
O comando esxcli system settings encryption set falha em alguns TPMs, mesmo quando o TPM está ativado para o host.
  • No vSphere 7.0 Atualização 2: TPMs da NationZ (NTZ), Infineon Technologies (IFX) e alguns novos modelos (como NPCT75x) da Nuvoton Technologies Corporation (NTC)
  • No vSphere 7.0 Atualização 3: TPMs do NationZ (NTZ)

Se uma instalação ou atualização do vSphere 7.0 Update 2 ou posterior não puder usar o TPM durante a primeira inicialização, a instalação ou atualização continuará, e o modo padrão será NONE (ou seja, --mode=NONE). O comportamento resultante é como se o TPM não estivesse ativado.

O TPM também pode impor a configuração da opção de inicialização execInstalledOnly na política de vedação. A imposição execInstalledOnly é uma opção de inicialização ESXi avançada que garante que o VMkernel execute apenas os binários que foram empacotados e assinados corretamente como parte de um VIB. A opção de inicialização execInstalledOnly tem uma dependência da opção de inicialização segura. A imposição de inicialização segura deve ser ativada antes que você possa impor a opção de inicialização execInstalledOnly na política de vedação. Consulte Ativar ou desativar a imposição execInstalledOnly para uma configuração ESXi segura.