In ESXi 8.0 und höher unterstützt die Implementierung der ESXi-Entropie die FIPS 140-3- und EAL4-Zertifizierungen. Kernel-Startoptionen steuern, welche Entropiequellen auf einem ESXi-Host aktiviert werden sollen.
Beim Computing bezieht sich der Begriff „Entropie“ auf zufällige Zeichen und Daten, die für die Verwendung in der Kryptografie erfasst werden, wie z. B. das Generieren von Verschlüsselungsschlüsseln zur Sicherung über ein Netzwerk übertragener Daten. Entropie ist für die Sicherheit erforderlich, um Schlüssel zu generieren und sicher über das Netzwerk zu kommunizieren. Entropie wird häufig aus einer Vielzahl von Quellen auf einem System erfasst.
Die Verwendung der FIPS-Entropie ist das Standardverhalten, wenn die folgenden Bedingungen zutreffen.
- Die Hardware unterstützt RDSEED.
- Die VMkernel-Startoption „disableHwrng“ ist nicht vorhanden oder FALSE.
- Die VMkernel-Startoption „entropySources“ ist nicht vorhanden, 0 (Null) oder 4.
Ab ESXi 8.0 Update 1 können Sie externe Entropiequellen in der Kickstart-Datei für die Skriptinstallation konfigurieren. Sie können ESXi in einer Hochsicherheitsumgebung so konfigurieren, dass Entropie aus externen Entropiequellen wie einem HSM (Hardware Security Module) verbraucht und unter Verwendung der skriptbasierten Installationsmethode ein Abgleich mit Standards wie BSI Common Criteria, EAL4 und NIST FIPS CMVP durchgeführt wird. Weitere Informationen zur Konfiguration von externen Entropiequellen finden Sie in der Dokumentation zu Installation und Einrichtung von VMware ESXi.
Sie können das ESXi-Entropie-Subsystem mithilfe der folgenden VMkernel-Startoptionen konfigurieren:
VMkernel-Startoption | Optionstyp | Beschreibung | Standardwert |
---|---|---|---|
disableHwrng (verfügbar vor vSphere 8.0) | Boolean | Deaktiviert die RDRAND- und RDSEED-Entropiequellen, wenn diese auf TRUE festgelegt sind (überschreibt „entropySources“). | FALSE Aktiviert die Entropiequellen des Hardware-Zufallszahlengenerators, falls vorhanden. |
entropySources (verfügbar ab vSphere 8.0) | Ganzzahl, Bitmaske | Gibt an, welche Entropiequellen aktiviert werden sollen.
Bitmaskenwerte:
|
0 (Null) Wenn RDSEED unterstützt wird, lautet die Standardeinstellung FIPS-Konformität. Andernfalls werden standardmäßig alle Entropiequellen außer entropyd verwendet. |
Voraussetzungen
Sie müssen auf dem ESXi-Host über Root-Zugriff verfügen.
Prozedur
- Verwenden Sie SSH oder eine andere Remotekonsolenverbindung, um eine Sitzung auf dem ESXi-Host zu starten.
- Melden Sie sich als „root“ an.
- Legen Sie die gewünschten Entropie-VMkernel-Startoptionen fest.
- So deaktivieren Sie die RDRAND- und RDSEED-Entropiequellen für „disableHwrng“:
esxcli system settings kernel set -s disableHwrng -v TRUE
- So legen Sie „entropySources“ fest:
esxcli system settings kernel set -s entropySources -v entropy_source_value
Die Werte, die Sie für „entropySources“ festlegen können, finden Sie in der obigen Tabelle.
- So deaktivieren Sie die RDRAND- und RDSEED-Entropiequellen für „disableHwrng“: