您无需手动启用 ESXi 配置加密。安装或升级到 vSphere 7.0 Update 2 或更高版本时,存档的 ESXi 配置文件将被加密。

在 vSphere 7.0 Update 2 之前,存档的 ESXi 配置文件未加密。在 vSphere 7.0 Update 2 及更高版本中,存档的配置文件已加密。为 ESXi 主机配置可信平台模块 (TPM) 后,TPM 用于将配置“封装”到主机,从而提供强有力的安全保证。

vSphere 7.0 Update 2 之前的 ESXi 配置文件概览

ESXi 主机的配置包括主机上运行的每个服务的配置文件。配置文件通常位于 /etc/ 目录中,但也可以驻留在其他命名空间中。配置文件包含有关服务状态的运行时信息。随着时间的推移,配置文件中的默认值可能会发生变化,例如,当您更改 ESXi 主机上的设置时。cron 作业会定期、在 ESXi 正常关闭时或按需备份 ESXi 配置文件,并在引导槽中创建存档的配置文件。ESXi 在重新引导时,会读取存档的配置文件,并重新创建 ESXi 在创建备份时所处的状态。在 vSphere 7.0 Update 2 之前,存档的配置文件未加密。因此,在系统处于脱机状态时,有权访问物理 ESXi 存储的攻击者可以读取并更改此文件。

ESXi 安全配置概览

在安装或将 ESXi 主机升级到 vSphere 7.0 Update 2 或更高版本后的首次引导过程中,将发生以下情况:

  • 如果 ESXi 主机具有 TPM 并在固件中启用了 TPM,则存档的配置文件将通过存储在 TPM 中的加密密钥进行加密。从此时起,主机的配置由 TPM 封装。
  • 如果 ESXi 主机不具有 TPM,ESXi 将使用密钥派生功能 (KDF) 为存档的配置文件生成安全配置加密密钥。KDF 的输入存储在磁盘上的 encryption.info 文件中。
注: 如果 ESXi 主机具有已启用的 TPM 设备,您将获得额外的保护。

ESXi 主机在首次引导之后重新引导时,将发生以下情况:

  • 如果 ESXi 主机具有 TPM,则主机必须从该特定主机的 TPM 获取加密密钥。如果 TPM 衡量指标满足创建加密密钥时使用的封装策略,则主机可从 TPM 中获取加密密钥。
  • 如果 ESXi 主机不具有 TPM,则 ESXi 将从 encryption.info 文件读取信息以解锁安全配置。

ESXi 安全配置的要求

  • ESXi 7.0 Update 2 或更高版本
  • 用于配置加密的 TPM 2.0 以及使用封装策略的功能

ESXi 安全配置恢复密钥

ESXi 安全配置包括一个恢复密钥。如果必须恢复 ESXi 安全配置,请使用包含了您输入为命令行引导选项的内容的恢复密钥。您可以列出恢复密钥以创建恢复密钥备份。您也可以根据安全要求轮换恢复密钥。

备份恢复密钥是管理 ESXi 安全配置的重要部分。vCenter Server 会生成警报,以提醒您备份恢复密钥。

恢复密钥警报

备份恢复密钥是管理 ESXi 安全配置的重要部分。每当处于 TPM 模式的 ESXi 主机连接或重新连接至 vCenter Server 时,vCenter Server 都会生成警报以提醒您备份恢复密钥。重置警报时,除非情况发生变化,否则不会再次触发警报。

ESXi 安全配置的最佳做法

请遵循以下恢复密钥的最佳做法:

  • 列出恢复密钥时,它会暂时显示在不受信任的环境中,并且驻留在内存中。请清除密钥的痕迹。
  • 执行恢复时:
    • 要消除不受信任环境中的任何恢复密钥痕迹,请重新引导主机。
    • 为了增强安全性,请在恢复密钥一次后轮换恢复密钥以使用新密钥。