ESXi-Hosts können die Funktionalität von TPM-Chips (Trusted Platform Modules) nutzen. Hierbei handelt es sich um sichere Kryptoprozessoren, die die Hostsicherheit erhöhen, indem sie eine Zusicherung der Vertrauenswürdigkeit ermöglichen, die in Hardware und nicht in Software verankert ist.

TPM ist ein branchenweiter Standard für sichere Kryptoprozessoren. TPM-Chips sind in den meisten modernen Computern zu finden. Dies gilt gleichermaßen für Laptops, Desktop-Computer und sogar Server. vSphere 6.7 und höher unterstützt TPM Version 2.0.

Ein TPM 2.0-Chip bestätigt die Integrität der Identität eines ESXi-Hosts. Ein Host-Integritätsnachweis ist der Prozess der Authentifizierung und Bescheinigung des Zustands der Software eines Hosts zu einem bestimmten Zeitpunkt. Die Implementierung des UEFI Secure Boot-Mechanismus, der sicherstellt, dass beim Starten nur signierte Software geladen wird, ist eine Voraussetzung für einen erfolgreichen Integritätsnachweis. Der TPM 2.0-Chip zeichnet die Messungen der im System gestarteten Softwaremodule auf und speichert sie sicher ab, was extern von vCenter Server überprüft wird.

Der Fernbescheinigungsprozess umfasst die folgenden allgemeinen Schritte:

  1. Stellen Sie die Vertrauenswürdigkeit des Remote-TPMs fest und erstellen Sie darauf basierend einen Integritätsnachweisschlüssel (Attestation Key, AK).

    Wenn ein ESXi-Host zu vCenter Server hinzugefügt, von dort aus neu gestartet oder erneut mit vCenter Server verbunden wird, fordert vCenter Server einen AK vom Host an. Ein Teil des AK-Erstellungsprozesses beinhaltet auch die Überprüfung der TPM-Hardware selbst, um sicherzustellen, dass sie von einem bekannten (und vertrauenswürdigen) Anbieter produziert wurde.

  2. Rufen Sie den Integritätsnachweisbericht (Attestation Report) vom Host ab.

    vCenter Server verlangt, dass der Host einen Integritätsnachweisbericht sendet, der einen vom TPM signierten Auszug der Werte in den Platform Configuration Registers (PCRs) sowie andere signierte binäre Metadaten des Hosts enthält. Durch Überprüfung, ob die Informationen mit einer Konfiguration übereinstimmen, die er für vertrauenswürdig hält, identifiziert ein vCenter Server die Plattform auf einem zuvor nicht vertrauenswürdigen Host.

  3. Überprüfen Sie die Authentizität des Hosts.

    vCenter Server prüft die Echtheit des signierten Datenauszugs, leitet die Softwareversionen ab und bestimmt deren Vertrauenswürdigkeit. Wenn vCenter Server feststellt, dass der signierte Auszug ungültig ist, schlägt die Fernbescheinigung fehl, und der Host gilt als nicht vertrauenswürdig.

Um einen TPM 2.0-Chip verwenden zu können, muss Ihre Umgebung vCenter Server die folgenden Anforderungen erfüllen:

  • vCenter Server 6.7 oder höher
  • ESXi 6.7-Host oder höher mit installiertem und in UEFI aktivierten TPM 2.0-Chip
  • UEFI Secure Boot ist aktiviert

Stellen Sie sicher, dass das TPM im BIOS des ESXi-Hosts so konfiguriert ist, dass es den SHA-256-Hashing-Algorithmus und die TIS/FIFO-Schnittstelle (First-In, First-Out) verwendet und nicht CRB (Command Response Buffer). Informationen zum Einstellen dieser erforderlichen BIOS-Optionen finden Sie in der Dokumentation des Herstellers.

Überprüfen Sie die von VMware zertifizierten TPM 2.0-Chips unter

https://www.vmware.com/resources/compatibility/search.php

Wenn Sie einen ESXi-Host mit installiertem TPM 2.0-Chip starten, überwacht vCenter Server den Status des Host-Integritätsnachweises. Der vSphere Client zeigt den Status der Hardwarevertrauenswürdigkeit in vCenter Server auf der Registerkarte Übersicht unter Sicherheit mit den folgenden Alarmen an:

  • Grün: Normaler Status, zeigt uneingeschränkte Vertrauenswürdigkeit an.
  • Rot: Integritätsnachweis ist fehlgeschlagen.
Hinweis: Wenn Sie einen TPM 2.0-Chip zu einem ESXi-Host hinzufügen, der von vCenter Server bereits verwaltet wird, müssen Sie zuerst den Host trennen und dann erneut verbinden. Informationen zum Trennen und Wiederverbinden von Hosts finden Sie in der vCenter Server und Hostverwaltung-Dokumentation.