No ESXi 8.0 e posterior, a implementação do ESXi Entropy é compatível com as certificações FIPS 140-3 e EAL4. As opções de inicialização do kernel controlam quais origens de entropia devem ser ativadas em um host ESXi.

Na computação, o termo "entropia" refere-se a caracteres e dados aleatórios que são coletados para uso em criptografia, como a geração de chaves de criptografia para proteger os dados transmitidos por uma rede. A entropia é exigida pela segurança para gerar chaves e se comunicar com segurança pela rede. A entropia geralmente é coletada de várias fontes em um sistema.

A manipulação de entropia FIPS será o comportamento padrão se as seguintes condições forem verdadeiras.

  1. O hardware oferece suporte a RDSEED.
  2. A opção de inicialização disableHwrng VMkernel não está presente ou é FALSE.
  3. A opção de inicialização entropySources VMkernel não está presente, é 0 (zero) ou é 4.
Aviso: Ao configurar um host ESXi com entropySources somente para entropia externa (ou seja, entropySources é definido como 8), você deve continuar fornecendo a entropia externa ao host usando a API de entropia. Se a entropia se esgotar no host, o host deixará de responder. Para se recuperar dessa situação, reinicialize o host. Se o host ainda não responder, você deverá reinstalar o ESXi.

A partir do ESXi 8.0 Atualização 1, você pode configurar origens de entropia externas no arquivo kickstart para instalação com script. Você pode configurar o ESXi em um ambiente altamente seguro para consumir entropia de fontes de entropia externas, como um Módulo de Segurança de Hardware (HSM), e alinhar-se a padrões como Critérios Comuns do BSI, EAL4 e NIST FIPS CMVP, usando o script método de instalação. Para obter mais informações sobre como configurar origens de entropia externas, consulte a documentação VMware ESXi Instalação e configuração.

Você pode configurar o subsistema ESXi Entropy usando as seguintes opções de inicialização do VMkernel:

Tabela 1. ESXi Opções de inicialização do Entropy VMkernel
Opção de inicialização do VMkernel Tipo de opção Descrição Valor padrão
disableHwrng (disponível antes de vSphere 8.0) Booleano Desativa as origens de entropia RDRAND e RDSEED quando definido como TRUE (substitui "entropySources"). FALSO

Ativa as origens de entropia do gerador de números aleatórios de hardware, se houver.
entropySources (disponível a partir do vSphere 8.0) Número inteiro, máscara de bits Especifica quais origens de entropia ativar.
  • 0 (padrão)

Valores de bitmask:

  • 1=interrompe
  • 2=RDRAND
  • 4=RDSEED
  • 8=entropyd (o tratamento de entropia EAL4 está ativado)
Especificar entropySources=9 ativa as interrupções e as origens de entropia de espaço do usuário e desativa as origens de entropia RDRAND e RDSEED.		 0 (zero)

Se o RDSEED for compatível, o padrão será conformidade com FIPS. Caso contrário, o padrão é todas as origens de entropia, exceto entropyd.
Observação: Antes de fazer uma alteração para usar apenas RDRAND, RDSEED ou ambas as fontes de entropia, verifique a documentação do fornecedor para garantir que seu host ESXi seja compatível com essas configurações. Se o seu host não oferecer suporte a essas configurações, o vCenter Server notificará você com um alerta, e o host voltará a usar as fontes de entropia de interrupção e de espaço do usuário.

Pré-requisitos

Você deve ter acesso root no host ESXi.

Procedimento

  1. Use o SSH ou outra conexão de console remoto para iniciar uma sessão no host ESXi.
  2. Faça login como root.
  3. Defina as opções de inicialização do VMkernel de entropia desejadas.
    1. Para desativar as origens de entropia RDRAND e RDSEED para disableHwrng: 
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. Para definir entropySources: 
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      Consulte a tabela anterior para obter os valores que você pode definir para entropySources.