In ESXi 8.0 und höher unterstützt die Implementierung der ESXi-Entropie die FIPS 140-3- und EAL4-Zertifizierungen. Kernel-Startoptionen steuern, welche Entropiequellen auf einem ESXi-Host aktiviert werden sollen.

Beim Computing bezieht sich der Begriff „Entropie“ auf zufällige Zeichen und Daten, die für die Verwendung in der Kryptografie erfasst werden, wie z. B. das Generieren von Verschlüsselungsschlüsseln zur Sicherung über ein Netzwerk übertragener Daten. Entropie ist für die Sicherheit erforderlich, um Schlüssel zu generieren und sicher über das Netzwerk zu kommunizieren. Entropie wird häufig aus einer Vielzahl von Quellen auf einem System erfasst.

Die Verwendung der FIPS-Entropie ist das Standardverhalten, wenn die folgenden Bedingungen zutreffen.

  1. Die Hardware unterstützt RDSEED.
  2. Die VMkernel-Startoption „disableHwrng“ ist nicht vorhanden oder FALSE.
  3. Die VMkernel-Startoption „entropySources“ ist nicht vorhanden, 0 (Null) oder 4.
Warnung: Wenn Sie einen ESXi-Host mit entropySources nur für externe Entropie konfigurieren (das heißt, entropySources ist auf 8 festgelegt), müssen Sie die externe Entropie weiterhin mithilfe der Entropie-API für den Host bereitstellen. Wenn die Entropie auf dem Host ausgeschöpft ist, reagiert der Host nicht mehr. Um diese Situation zu beheben, starten Sie den Host neu. Wenn der Host immer noch nicht reagiert, müssen Sie ESXi neu installieren.

Ab ESXi 8.0 Update 1 können Sie externe Entropiequellen in der Kickstart-Datei für die Skriptinstallation konfigurieren. Sie können ESXi in einer Hochsicherheitsumgebung so konfigurieren, dass Entropie aus externen Entropiequellen wie einem HSM (Hardware Security Module) verbraucht und unter Verwendung der skriptbasierten Installationsmethode ein Abgleich mit Standards wie BSI Common Criteria, EAL4 und NIST FIPS CMVP durchgeführt wird. Weitere Informationen zur Konfiguration von externen Entropiequellen finden Sie in der Dokumentation zu Installation und Einrichtung von VMware ESXi.

Sie können das ESXi-Entropie-Subsystem mithilfe der folgenden VMkernel-Startoptionen konfigurieren:

Tabelle 1. ESXi-Entropie – VMkernel-Startoptionen
VMkernel-Startoption Optionstyp Beschreibung Standardwert
disableHwrng (verfügbar vor vSphere 8.0) Boolean Deaktiviert die RDRAND- und RDSEED-Entropiequellen, wenn diese auf TRUE festgelegt sind (überschreibt „entropySources“). FALSE

Aktiviert die Entropiequellen des Hardware-Zufallszahlengenerators, falls vorhanden.
entropySources (verfügbar ab vSphere 8.0) Ganzzahl, Bitmaske Gibt an, welche Entropiequellen aktiviert werden sollen.
  • 0 (Standard)

Bitmaskenwerte:

  • 1=Interrupts
  • 2=RDRAND
  • 4=RDSEED
  • 8=entropyd (die Verwendung von EAL4-Entropie ist aktiviert)
Durch die Angabe von entropySources=9 werden die Interrupts und die Userspace-Entropiequellen aktiviert und die Entropiequellen „RDRAND“ und „RDSEED“ deaktiviert.		 0 (Null)

Wenn RDSEED unterstützt wird, lautet die Standardeinstellung FIPS-Konformität. Andernfalls werden standardmäßig alle Entropiequellen außer entropyd verwendet.
Hinweis: Bevor Sie eine Änderung vornehmen, um nur RDRAND-, RDSEED- oder beide Entropiequellen zu verwenden, überprüfen Sie die Dokumentation Ihres Anbieters, um sicherzustellen, dass Ihr ESXi-Host diese Konfigurationen unterstützt. Wenn Ihr Host diese Konfigurationen nicht unterstützt, benachrichtigt vCenter Server Sie mit einer Warnung, und der Host verwendet die Interrupt- und Userspace-Entropiequellen.

Voraussetzungen

Sie müssen auf dem ESXi-Host über Root-Zugriff verfügen.

Prozedur

  1. Verwenden Sie SSH oder eine andere Remotekonsolenverbindung, um eine Sitzung auf dem ESXi-Host zu starten.
  2. Melden Sie sich als „root“ an.
  3. Legen Sie die gewünschten Entropie-VMkernel-Startoptionen fest.
    1. So deaktivieren Sie die RDRAND- und RDSEED-Entropiequellen für „disableHwrng“: 
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. So legen Sie „entropySources“ fest: 
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      Die Werte, die Sie für „entropySources“ festlegen können, finden Sie in der obigen Tabelle.