在 vSphere 7.0 Update 2 及更高版本中,ESXi 配置会受到加密保护。
什么是安全的 ESXi 配置
许多 ESXi 服务将密钥存储在其配置文件中。这些配置会作为存储文件存储在 ESXi 主机的引导槽中。在 vSphere 7.0 Update 2 之前,存档的 ESXi 配置文件未加密。在 vSphere 7.0 Update 2 及更高版本中,存档的配置文件已加密。这样,攻击者将无法直接读取或更改此文件,即使他们具有 ESXi 主机存储的物理访问权限。
除了防止攻击者访问密钥外,当 ESXi 安全配置与 TPM 一同使用时,还可以使保存的虚拟机加密密钥在重新引导后仍然存在。为 ESXi 主机配置 TPM,TPM 用于将配置“封装”到主机,从而提供强有力的安全保证。因此,当密钥服务器不可用或无法访问时,加密的工作负载可以继续运行。请参见ESXi 主机上的 vSphere 密钥持久性。
您无需手动激活 ESXi 配置加密。安装或升级到 vSphere 7.0 Update 2 或更高版本时,存档的 ESXi 配置文件将被加密。
有关与安全的 ESXi 配置关联的任务,请参见 管理 ESXi 安全配置。
vSphere 7.0 Update 2 之前的 ESXi 配置文件
ESXi 主机的配置包括主机上运行的每个服务的配置文件。配置文件通常位于 /etc/ 目录中,但也可以驻留在其他命名空间中。配置文件包含有关服务状态的运行时信息。随着时间的推移,配置文件中的默认值可能会发生变化,例如,当您更改 ESXi 主机上的设置时。cron 作业会定期、在 ESXi 正常关闭时或按需备份 ESXi 配置文件,并在引导槽中创建存档的配置文件。ESXi 在重新引导时,会读取存档的配置文件,并重新创建 ESXi 在创建备份时所处的状态。在 vSphere 7.0 Update 2 之前,存档的配置文件未加密。因此,在系统处于脱机状态时,有权访问物理 ESXi 存储的攻击者可以读取并更改此文件。
如何实施安全的 ESXi 配置
在安装或将 ESXi 主机升级到 vSphere 7.0 Update 2 或更高版本后的首次引导过程中,将发生以下情况:
- 如果 ESXi 主机具有 TPM 并在固件中激活了 TPM,则存档的配置文件将通过存储在 TPM 中的加密密钥进行加密。从此时起,主机的配置由 TPM 封装。
- 如果 ESXi 主机不具有 TPM,ESXi 将使用密钥派生功能 (KDF) 为存档的配置文件生成安全配置加密密钥。KDF 的输入存储在磁盘上的 encryption.info 文件中。
ESXi 主机在首次引导之后重新引导时,将发生以下情况:
- 如果 ESXi 主机具有 TPM,则主机必须从该特定主机的 TPM 获取加密密钥。如果 TPM 衡量指标满足创建加密密钥时使用的封装策略,则主机可从 TPM 中获取加密密钥。
- 如果 ESXi 主机不具有 TPM,则 ESXi 将从 encryption.info 文件读取信息以解锁安全配置。
ESXi 安全配置的要求
- ESXi 7.0 Update 2 或更高版本
- 用于配置加密的 TPM 2.0 以及使用封装策略的功能
ESXi 安全配置恢复密钥
ESXi 安全配置包括一个恢复密钥。如果必须恢复 ESXi 安全配置,请使用包含了您输入为命令行引导选项的内容的恢复密钥。您可以列出恢复密钥以创建恢复密钥备份。您也可以根据安全要求轮换恢复密钥。
备份恢复密钥是管理 ESXi 安全配置的重要部分。vCenter Server 会生成警报,以提醒您备份恢复密钥。
安全的 ESXi 配置恢复密钥警报
备份恢复密钥是管理 ESXi 安全配置的重要部分。每当处于 TPM 模式的 ESXi 主机连接或重新连接至 vCenter Server 时,vCenter Server 都会生成警报以提醒您备份恢复密钥。重置警报时,除非情况发生变化,否则不会再次触发警报。
ESXi 安全配置的最佳做法
请遵循以下安全 ESXi 恢复密钥的最佳做法:
- 列出恢复密钥时,它会暂时显示在不受信任的环境中,并且驻留在内存中。请清除密钥的痕迹。
- 重新引导主机可去除内存中的残留痕迹。
- 为增强保护,您可以在主机上激活加密模式。请参见明确激活主机加密模式。
- 执行恢复时:
- 要消除不受信任环境中的任何恢复密钥痕迹,请重新引导主机。
- 为了增强安全性,请在恢复密钥一次后轮换恢复密钥以使用新密钥。
什么是 TPM 封装策略
TPM 可以使用平台配置寄存器 (PCR) 衡量指标实施用于限制对敏感数据的未授权访问的策略。安装具有 TPM 的 ESXi 主机或将其升级到 vSphere 7.0 Update 2 或更高版本时,TPM 会使用包含安全引导设置的策略来封装敏感信息。此策略会在首次使用 TPM 封装数据时检查是否已激活安全引导,然后,在后续引导中尝试解封数据时,安全引导必须仍然处于激活状态。
安全引导属于 UEFI 固件标准的一部分。激活 UEFI 安全引导后,主机会拒绝加载任何 UEFI 驱动程序或应用程序,除非操作系统引导加载程序具有有效的数字签名。
您可以选择停用或激活 UEFI 安全引导实施。请参见激活或停用安全引导实施以获得安全的 ESXi 配置。
esxcli system settings encryption set --mode=TPM激活 TPM 后,将无法撤消该设置。
esxcli system settings encryption set
命令也会在某些 TPM 上失败。
- 在 vSphere 7.0 Update 2 中:NationZ (NTZ) 的 TPM、Infineon Technologies (IFX) 的 TPM 以及 Nuvoton Technologies Corporation (NTC) 的某些新型号(例如 NPCT75x)
- vSphere 7.0 Update 3 中:来自 NationZ (NTZ) 的 TPM
如果安装或升级 vSphere 7.0 Update 2 或更高版本在首次引导期间无法使用 TPM,则安装或升级将继续,并且模式默认为“无”(即,--mode=NONE
)。由此引发的行为就像未激活 TPM 一样。
TPM 还可以在封装策略中强制执行 execInstalledOnly 引导选项的设置。execInstalledOnly 实施是 ESXi 高级引导选项,可保证 VMkernel 仅执行已作为 VIB 的一部分正确打包和签名的二进制文件。execInstalledOnly 引导选项依赖于安全引导选项。必须先激活安全引导实施,然后才能在封装策略中强制执行 execInstalledOnly 引导选项。请参见激活或停用 execInstalledOnly 实施以获得安全的 ESXi 配置。