In vSphere 7.0 Update 2 und höher ist die ESXi-Konfiguration durch Verschlüsselung geschützt.
Was ist eine sichere ESXi-Konfiguration
Viele ESXi-Dienste speichern geheime Schlüssel in ihren Konfigurationsdateien. Diese Konfigurationen werden in einer Startbank des ESXi-Hosts als archivierte Datei beibehalten. Vor vSphere 7.0 Update 2 ist die archivierte ESXi-Konfigurationsdatei nicht verschlüsselt. In vSphere 7.0 Update 2 und höher ist die archivierte Konfigurationsdatei verschlüsselt. Dies führt dazu, dass Angreifer diese Datei nicht direkt lesen oder ändern können, selbst wenn sie physischen Zugriff auf den Speicher des ESXi-Hosts haben.
Zusätzlich zur Verhinderung des Zugriffs eines Angreifers auf geheime Schlüssel kann eine sichere ESXi-Konfiguration bei Verwendung eines TPM die Verschlüsselungsschlüssel der virtuellen Maschine über Neustarts hinweg speichern. Wenn der ESXi-Host mit einem TPM konfiguriert ist, wird das TPM zum „Versiegeln“ der Konfiguration für den Host verwendet, was eine starke Sicherheitsgarantie bietet. Daher können verschlüsselte Arbeitslasten weiterhin funktionieren, wenn ein Schlüsselserver nicht verfügbar oder nicht erreichbar ist. Weitere Informationen hierzu finden Sie unter vSphere-Schlüsselpersistenz auf ESXi-Hosts.
Sie müssen die Verschlüsselung der ESXi-Konfiguration nicht manuell aktivieren. Wenn Sie vSphere 7.0 Update 2 oder höher installieren oder aktualisieren, ist die archivierte ESXi-Konfigurationsdatei verschlüsselt.
Informationen zu Aufgaben im Zusammenhang mit einer sicheren ESXi-Konfiguration finden Sie unter Verwalten einer sicheren ESXi-Konfiguration.
ESXi-Konfigurationsdateien vor vSphere 7.0 Update 2
Die Konfiguration eines ESXi-Hosts besteht aus Konfigurationsdateien für jeden Dienst, der auf dem Host ausgeführt wird. Die Konfigurationsdateien befinden sich in der Regel im Verzeichnis /etc/, aber sie können sich auch in anderen Namespaces befinden. Die Konfigurationsdateien enthalten Laufzeitinformationen über den Status der Dienste. Im Laufe der Zeit können sich die Standardwerte in den Konfigurationsdateien ändern, z. B. wenn Sie Einstellungen auf dem ESXi-Host ändern. Ein Cron-Auftrag sichert die ESXi-Konfigurationsdateien regelmäßig, oder wenn ESXi ordnungsgemäß heruntergefahren wird, oder bei Bedarf, und erstellt eine archivierte Konfigurationsdatei in der Startbank. Wenn ESXi neu startet, wird die archivierte Konfigurationsdatei gelesen und der Zustand wird wiederhergestellt, in dem sich ESXi befand, als die Sicherung erstellt wurde. Vor vSphere 7.0 Update 2 ist die archivierte Konfigurationsdatei unverschlüsselt. Dies führt dazu, dass ein Angreifer, der Zugriff auf den physischen ESXi-Speicher hat, diese Datei lesen und ändern kann, während das System offline ist.
Vorgehensweise zur Implementierung der sicheren ESXi-Konfiguration
Beim ersten Start nach der Installation oder dem Upgrade des ESXi-Hosts auf vSphere 7.0 Update 2 oder höher tritt Folgendes auf:
- Wenn der ESXi-Host über ein TPM verfügt und in der Firmware aktiviert ist, wird die archivierte Konfigurationsdatei mit einem im TPM gespeicherten Verschlüsselungsschlüssel verschlüsselt. Ab diesem Zeitpunkt wird die Konfiguration des Hosts durch das TPM versiegelt.
- Wenn der ESXi-Host nicht über ein TPM verfügt, verwendet ESXi eine Schlüsselableitungsfunktion (Key Derivation Function, KDF), um einen sicheren Verschlüsselungsschlüssel für die Konfiguration der archivierten Konfigurationsdatei zu generieren. Die Eingaben für KDF werden auf der Festplatte in der Datei encryption.info gespeichert.
Wenn der ESXi-Host nach dem ersten Start neu gestartet wird, tritt Folgendes auf:
- Wenn der ESXi-Host über ein TPM verfügt, muss der Host den Verschlüsselungsschlüssel vom TPM für diesen spezifischen Host abrufen. Wenn die TPM-Messungen der Versiegelungsrichtlinie entsprechen, die beim Erstellen des Verschlüsselungsschlüssels verwendet wurde, erhält der Host den Verschlüsselungsschlüssel vom TPM.
- Wenn der ESXi-Host nicht über ein TPM verfügt, liest ESXi Informationen aus der Datei encryption.info um die sichere Konfiguration zu entsperren.
Anforderungen für die sichere ESXi-Konfiguration
- ESXi 7.0 Update 2 oder höher
- TPM 2.0 für Konfigurationsverschlüsselung und die Möglichkeit, eine Versiegelungsrichtlinie zu verwenden
Wiederherstellungsschlüssel für die sichere ESXi-Konfiguration
Eine sichere ESXi-Konfiguration beinhaltet einen Wiederherstellungsschlüssel. Wenn Sie die sichere ESXi-Konfiguration wiederherstellen müssen, verwenden Sie einen Wiederherstellungsschlüssel, dessen Inhalt Sie als Befehlszeilen-Startoption eingeben. Sie können den Wiederherstellungsschlüssel auflisten, um eine Sicherung des Wiederherstellungsschlüssels zu erstellen. Sie können den Wiederherstellungsschlüssel auch im Rahmen Ihrer Sicherheitsanforderungen rotieren.
Die Sicherung des Wiederherstellungsschlüssels ist ein wichtiger Bestandteil der Verwaltung Ihrer sicheren ESXi-Konfiguration. vCenter Server generiert einen Alarm, um Sie daran zu erinnern, den Wiederherstellungsschlüssel zu sichern.
Alarm für Wiederherstellungsschlüssel in der sicheren ESXi-Konfiguration
Die Sicherung des Wiederherstellungsschlüssels ist ein wichtiger Bestandteil der Verwaltung Ihrer sicheren ESXi-Konfiguration. Wenn ein ESXi-Host im TPM-Modus mit dem vCenter Server verbunden oder erneut verbunden wird, generiert vCenter Server einen Alarm, um Sie daran zu erinnern, den Wiederherstellungsschlüssel zu sichern. Wenn Sie den Alarm zurücksetzen, wird er nicht erneut ausgelöst, es sei denn, die Bedingungen ändern sich.
Empfohlene Vorgehensweisen für die sichere ESXi-Konfiguration
Befolgen Sie diese empfohlenen Vorgehensweisen für den sicheren ESXi-Wiederherstellungsschlüssel:
- Wenn Sie einen Wiederherstellungsschlüssel auflisten, wird er vorübergehend in einer nicht vertrauenswürdigen Umgebung angezeigt und befindet sich im Arbeitsspeicher. Entfernen Sie Ablaufverfolgungen des Schlüssels.
- Durch den Neustart des Hosts wird der verbleibende Schlüssel im Arbeitsspeicher entfernt.
- Für erweiterten Schutz können Sie den Verschlüsselungsmodus auf dem Host aktivieren. Weitere Informationen hierzu finden Sie unter Explizites Aktivieren des Hostverschlüsselungsmodus.
- Vorgehensweise beim Durchführen einer Wiederherstellung:
- Um Ablaufverfolgungen des Wiederherstellungsschlüssels in einer nicht vertrauenswürdigen Umgebung zu eliminieren, starten Sie den Host neu.
- Um die Sicherheit zu verbessern, rotieren Sie den Wiederherstellungsschlüssel, um einen neuen Schlüssel zu verwenden, nachdem Sie den Schlüssel einmal wiederhergestellt haben.
Was sind TPM-Versiegelungsrichtlinien?
Ein TPM kann mithilfe von PCR-Messungen (Platform Configuration Register) Richtlinien implementieren, die den nicht autorisierten Zugriff auf vertrauliche Daten beschränken. Wenn Sie einen ESXi-Host mit einem TPM installieren oder ein Upgrade auf vSphere 7.0 Update 2 und höher durchführen, versiegelt das TPM die vertraulichen Informationen mithilfe einer Richtlinie, die die Einstellung für den sicheren Start enthält. Diese Richtlinie überprüft, dass, wenn der sichere Start aktiviert war, als Daten zum ersten Mal mit dem TPM versiegelt wurden, der sichere Start immer noch aktiviert sein muss, wenn versucht wird, die Daten bei einem nachfolgenden Start zu entsiegeln.
Secure Boot (sicherer Start) ist Bestandteil des UEFI-Firmwarestandards. Bei aktiviertem UEFI Secure Boot lädt ein Host einen UEFI-Treiber oder -Apps nur, wenn der Bootloader des Betriebssystems über ein gültige digitale Signatur verfügt.
Sie können die UEFI Secure Boot-Erzwingung deaktivieren oder aktivieren. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration.
esxcli system settings encryption set --mode=TPMNach Aktivierung des TPM können Sie die Einstellung nicht mehr rückgängig machen.
esxcli system settings encryption set
schlägt auf manchen TPMs selbst dann fehl, wenn das jeweilige TPM für den Host aktiviert ist.
- In vSphere 7.0 Update 2: TPMs von NationZ (NTZ), Infineon Technologies (IFX) und bestimmte neue Modelle (wie NPCT75x) von Nuvoton Technologies Corporation (NTC)
- In vSphere 7.0 Update 3: TPMs von NationZ (NTZ)
Wenn eine Installation oder ein Upgrade von vSphere 7.0 Update 2 das TPM beim ersten Start nicht verwenden kann, wird die Installation oder das Upgrade fortgesetzt, und der Modus wird standardmäßig auf KEINE (d. h. --mode=NONE
) festgelegt. Das resultierende Verhalten sieht so aus, als ob das TPM nicht aktiviert ist.
Das TPM kann auch die Einstellung für die Startoption „execInstalledOnly“ in der Versiegelungsrichtlinie erzwingen. Die Erzwingung „execInstalledOnly“ ist eine erweiterte ESXi-Startoption, mit der garantiert wird, dass der VMkernel nur Binärdateien ausführt, die ordnungsgemäß verpackt und als Teil eines VIB signiert wurden. Die Startoption „execInstalledOnly“ ist von der Option für den sicheren Start abhängig. Die Erzwingung des sicheren Starts muss aktiviert sein, bevor Sie die Startoption „execInstalledOnly“ in der Versiegelungsrichtlinie erzwingen können. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der execInstalledOnly-Erzwingung für eine sichere ESXi-Konfiguration.