ESXi 主机可以使用可信平台模块 (Trusted Platform Module, TPM) 芯片,该模块是安全的密码处理器,通过提供植根于硬件(而不是软件)的信任保证来增强主机安全性。
TPM 是安全密码处理器的行业标准。如今的大多数计算机(从笔记本电脑到台式机、再到服务器)中都含 TPM 芯片。vSphere 6.7 及更高版本支持 TPM 2.0 版本。
TPM 2.0 芯片可证明 ESXi 主机的身份。主机证明是在给定时间点对主机软件状态进行身份验证和证明的过程。UEFI 安全引导可确保在引导时只加载签名软件,这是成功证明的一项要求。TPM 2.0 芯片将记录并安全存储系统中引导的软件模块的测量数据,vCenter Server 将远程验证这些测量数据。
远程证明过程的概要步骤为:
- 建立远程 TPM 的可信赖度并在其上创建证明密钥 (Attestation Key, AK)。
将 ESXi 主机添加到 vCenter Server、从中重新引导 ESXi 主机或重新连接到 vCenter Server 时,vCenter Server 将从主机请求 AK。AK 创建过程的一部分还涉及到 TPM 硬件本身的验证,以确保已知(且可信)的供应商生成该 TPM 硬件。
- 从主机检索证明报告。
vCenter Server 请求主机发送证明报告,其中包含由 TPM 签名的平台配置寄存器 (Platform Configuration Register, PCR) 证言,以及其他签名的主机二进制元数据。通过检查与其认为可信的配置相对应的信息,vCenter Server 将在先前不可信的主机上标识平台。
- 验证主机的真实性。
vCenter Server 会验证签名证言的真实性,推断软件版本并确定所述软件版本的可信赖度。如果 vCenter Server 确定签名证言无效,则远程证明失败,该主机不可信。
要使用 TPM 2.0 芯片,vCenter Server 环境必须满足以下要求:
- vCenter Server 6.7 或更高版本
- 在 UEFI 中安装有 TPM 2.0 芯片并启用的 ESXi 6.7 主机或更高版本
- 已启用 UEFI 安全引导
确保在 ESXi 主机的 BIOS 中配置了 TPM,以使用 SHA-256 哈希算法和 TIS/FIFO(先进先出)接口,而不是 CRB(命令响应缓冲区)。有关设置这些所需 BIOS 选项的信息,请参阅供应商文档。
在以下位置查看由 VMware 认证的 TPM 2.0 芯片:
https://www.vmware.com/resources/compatibility/search.php
引导安装有 TPM 2.0 芯片的 ESXi 主机时,vCenter Server 将监控主机的证明状态。vSphere Client 在 vCenter Server 的摘要选项卡(位于安全下)中显示硬件信任状态,并显示以下警报:
- 绿色:正常状态,指示完全信任。
- 红色:证明失败。
