Los hosts ESXi pueden utilizar los chips de los módulos de plataforma de confianza (Trusted Platform Module, TPM), los cuales son procesadores criptográficos seguros que mejoran la seguridad de los hosts, ya que proporcionan una garantía de confianza con acceso raíz en el hardware en lugar de en el software.

TPM es un estándar de la industria para los procesadores criptográficos seguros. Los chips TPM se utilizan en la mayoría de los equipos actuales, desde portátiles hasta equipos de escritorio y servidores. vSphere 6.7 y las versiones posteriores son compatibles con la versión 2.0 de TPM.

Un chip TPM 2.0 atesta la identidad de un host ESXi. La atestación de host es el proceso de autenticar y avalar el estado de software del host en un momento específico. El arranque seguro UEFI, por el cual solo se carga software firmado en el arranque, es un requisito para la atestación exitosa. El chip TPM 2.0 registra y almacena de forma segura las mediciones de los módulos de software arrancados en el sistema, lo que vCenter Server verifica de forma remota.

Los pasos de alto nivel del proceso de atestación remota son:

  1. Establecer la confiabilidad del TPM remoto y crear una clave de atestación (Attestation Key, AK) en el módulo.

    Cuando un host ESXi se agrega a, se reinicia desde o se vuelve a conectar a vCenter Server, vCenter Server solicita una AK del host. Una parte del proceso de creación de AK también implica la verificación del hardware de TPM para garantizar que lo haya producido un proveedor conocido (y de confianza).

  2. Recuperar el informe de atestación del host.

    vCenter Server solicita que el host envíe un informe de atestación, el cual incluye una oferta de los registros de configuración de la plataforma (Platform Configuration Registers, PCR), firmada por TPM, y otros metadatos binarios de host firmados. Al comprobar que la información corresponde a una configuración que se considera de confianza, una instancia de vCenter Server identifica la plataforma en un host que anteriormente no era de confianza.

  3. Comprobar la autenticidad del host.

    vCenter Server verifica la autenticidad de la oferta firmada, deduce las versiones de software y determina la confiabilidad de las versiones de dicho software. Si vCenter Server determina que la oferta firmada no es válida, se produce un error en la atestación remota y el host no se considera de confianza.

Para utilizar un chip TPM 2.0, el entorno de vCenter Server debe cumplir estos requisitos:

  • vCenter Server 6.7 o versiones posteriores
  • Host ESXi 6.7 o versión posterior con un chip TPM 2.0 instalado y habilitado en UEFI
  • Arranque seguro UEFI habilitado

Asegúrese de que TPM está configurado en la BIOS del host ESXi para utilizar el algoritmo de hash SHA-256 y la interfaz TIS/FIFO (First-In, First-Out), y no CRB (Command Response Buffer). Para obtener más información acerca de cómo configurar las opciones de la BIOS necesarias, consulte la documentación del proveedor.

Consulte los chips TPM 2.0 certificados por VMware en la siguiente ubicación:

https://www.vmware.com/resources/compatibility/search.php

Al arrancar un host ESXi con un chip TPM 2.0 instalado, vCenter Server supervisa el estado de atestación del host. vSphere Client muestra el estado de confianza del hardware en la pestaña Resumen de vCenter Server debajo de Seguridad con las siguientes alarmas:

  • Verde: estado Normal, es decir, plena confianza.
  • Rojo: no se pudo atestar.
Nota: Si agrega un chip TPM 2.0 a un host ESXi que ya administra vCenter Server, primero debe desconectar el host y, a continuación, volver a conectarlo. Consulte la documentación de Administrar vCenter Server y hosts para obtener más información sobre cómo desconectar y reconectar hosts.