Sie müssen die Verschlüsselung der ESXi-Konfiguration nicht manuell aktivieren. Wenn Sie vSphere 7.0 Update 2 oder höher installieren oder aktualisieren, ist die archivierte ESXi-Konfigurationsdatei verschlüsselt.
Vor vSphere 7.0 Update 2 ist die archivierte ESXi-Konfigurationsdatei nicht verschlüsselt. In vSphere 7.0 Update 2 und höher ist die archivierte Konfigurationsdatei verschlüsselt. Wenn der ESXi-Host mit einem Trusted Platform Module (TPM) konfiguriert ist, wird das TPM zum „Versiegeln“ der Konfiguration für den Host verwendet, was eine starke Sicherheitsgarantie bietet.
ESXi-Konfigurationsdateien vor vSphere 7.0 Update 2 – Übersicht
Die Konfiguration eines ESXi-Hosts besteht aus Konfigurationsdateien für jeden Dienst, der auf dem Host ausgeführt wird. Die Konfigurationsdateien befinden sich in der Regel im Verzeichnis /etc/, aber sie können sich auch in anderen Namespaces befinden. Die Konfigurationsdateien enthalten Laufzeitinformationen über den Status der Dienste. Im Laufe der Zeit können sich die Standardwerte in den Konfigurationsdateien ändern, z. B. wenn Sie Einstellungen auf dem ESXi-Host ändern. Ein Cron-Auftrag sichert die ESXi-Konfigurationsdateien regelmäßig, oder wenn ESXi ordnungsgemäß heruntergefahren wird, oder bei Bedarf, und erstellt eine archivierte Konfigurationsdatei in der Startbank. Wenn ESXi neu startet, wird die archivierte Konfigurationsdatei gelesen und der Zustand wird wiederhergestellt, in dem sich ESXi befand, als die Sicherung erstellt wurde. Vor vSphere 7.0 Update 2 ist die archivierte Konfigurationsdatei unverschlüsselt. Dies führt dazu, dass ein Angreifer, der Zugriff auf den physischen ESXi-Speicher hat, diese Datei lesen und ändern kann, während das System offline ist.
Sichere ESXi-Konfiguration – Übersicht
Beim ersten Start nach der Installation oder dem Upgrade des ESXi-Hosts auf vSphere 7.0 Update 2 oder höher tritt Folgendes auf:
- Wenn der ESXi-Host über ein TPM verfügt und in der Firmware aktiviert ist, wird die archivierte Konfigurationsdatei mit einem im TPM gespeicherten Verschlüsselungsschlüssel verschlüsselt. Ab diesem Zeitpunkt wird die Konfiguration des Hosts durch das TPM versiegelt.
- Wenn der ESXi-Host nicht über ein TPM verfügt, verwendet ESXi eine Schlüsselableitungsfunktion (Key Derivation Function, KDF), um einen sicheren Verschlüsselungsschlüssel für die Konfiguration der archivierten Konfigurationsdatei zu generieren. Die Eingaben für KDF werden auf der Festplatte in der Datei encryption.info gespeichert.
Wenn der ESXi-Host nach dem ersten Start neu gestartet wird, tritt Folgendes auf:
- Wenn der ESXi-Host über ein TPM verfügt, muss der Host den Verschlüsselungsschlüssel vom TPM für diesen spezifischen Host abrufen. Wenn die TPM-Messungen der Versiegelungsrichtlinie entsprechen, die beim Erstellen des Verschlüsselungsschlüssels verwendet wurde, erhält der Host den Verschlüsselungsschlüssel vom TPM.
- Wenn der ESXi-Host nicht über ein TPM verfügt, liest ESXi Informationen aus der Datei encryption.info um die sichere Konfiguration zu entsperren.
Anforderungen für die sichere ESXi-Konfiguration
- ESXi 7.0 Update 2 oder höher
- TPM 2.0 für Konfigurationsverschlüsselung und die Möglichkeit, eine Versiegelungsrichtlinie zu verwenden
Wiederherstellungsschlüssel für die sichere ESXi-Konfiguration
Eine sichere ESXi-Konfiguration beinhaltet einen Wiederherstellungsschlüssel. Wenn Sie die sichere ESXi-Konfiguration wiederherstellen müssen, verwenden Sie einen Wiederherstellungsschlüssel, dessen Inhalt Sie als Befehlszeilen-Startoption eingeben. Sie können den Wiederherstellungsschlüssel auflisten, um eine Sicherung des Wiederherstellungsschlüssels zu erstellen. Sie können den Wiederherstellungsschlüssel auch im Rahmen Ihrer Sicherheitsanforderungen rotieren.
Die Sicherung des Wiederherstellungsschlüssels ist ein wichtiger Bestandteil der Verwaltung Ihrer sicheren ESXi-Konfiguration. vCenter Server generiert einen Alarm, um Sie daran zu erinnern, den Wiederherstellungsschlüssel zu sichern.
Alarm für Wiederherstellungsschlüssel
Die Sicherung des Wiederherstellungsschlüssels ist ein wichtiger Bestandteil der Verwaltung Ihrer sicheren ESXi-Konfiguration. Wenn ein ESXi-Host im TPM-Modus mit dem vCenter Server verbunden oder erneut verbunden wird, generiert vCenter Server einen Alarm, um Sie daran zu erinnern, den Wiederherstellungsschlüssel zu sichern. Wenn Sie den Alarm zurücksetzen, wird er nicht erneut ausgelöst, es sei denn, die Bedingungen ändern sich.
Empfohlene Vorgehensweisen für die sichere ESXi-Konfiguration
Befolgen Sie diese empfohlenen Vorgehensweisen für den Wiederherstellungsschlüssel:
- Wenn Sie einen Wiederherstellungsschlüssel auflisten, wird er vorübergehend in einer nicht vertrauenswürdigen Umgebung angezeigt und befindet sich im Arbeitsspeicher. Entfernen Sie Ablaufverfolgungen des Schlüssels.
- Durch den Neustart des Hosts wird der verbleibende Schlüssel im Arbeitsspeicher entfernt.
- Für erweiterten Schutz können Sie den Verschlüsselungsmodus auf dem Host aktivieren. Weitere Informationen hierzu finden Sie unter Explizites Aktivieren des Hostverschlüsselungsmodus.
- Vorgehensweise beim Durchführen einer Wiederherstellung:
- Um Ablaufverfolgungen des Wiederherstellungsschlüssels in einer nicht vertrauenswürdigen Umgebung zu eliminieren, starten Sie den Host neu.
- Um die Sicherheit zu verbessern, rotieren Sie den Wiederherstellungsschlüssel, um einen neuen Schlüssel zu verwenden, nachdem Sie den Schlüssel einmal wiederhergestellt haben.