Asegurar la ESXi Descripción general de la configuración

No es necesario habilitar el cifrado de la configuración ESXi manualmente. Cuando instala o actualiza a vSphere 7.0 Update 2 o posterior, se cifra el archivo de configuración ESXi archivado.

Antes de vSphere 7.0 Update 2, el archivo de configuración ESXi archivado no está cifrado. En vSphere 7.0 Update 2 y versiones posteriores, se cifra el archivo de configuración archivado. Cuando el host ESXi está configurado con un módulo de plataforma de confianza (Trusted Platform Module, TPM), el TPM se utiliza para "sellar" la configuración en el host, lo que proporciona una garantía de seguridad sólida.

Descripción general de los archivos de configuración de ESXi antes de vSphere 7.0 Update 2

La configuración de un host ESXi consta de archivos de configuración para cada servicio que se ejecuta en el host. Los archivos de configuración suelen residir en el directorio /etc/, pero también pueden residir en otros espacios de nombres. Los archivos de configuración contienen información en tiempo de ejecución sobre el estado de los servicios. Con el tiempo, los valores predeterminados de los archivos de configuración pueden cambiar, por ejemplo, cuando se cambia la configuración en el host ESXi. Un trabajo cron realiza una copia de seguridad de los archivos de configuración de ESXi periódicamente, o cuando ESXi se apaga correctamente o a pedido, y crea un archivo de configuración archivado en el banco de arranque. Cuando ESXi se reinicia, lee el archivo de configuración archivado y vuelve a crear el estado en el que ESXi estaba cuando se creó la copia de seguridad. Antes de vSphere 7.0 Update 2, el archivo de configuración archivado no está cifrado. Como resultado, es posible que un atacante que tenga acceso al almacenamiento de ESXi físico lea y altere este archivo mientras el sistema está sin conexión.

Descripción general de la configuración de ESXi segura

Durante el primer arranque después de instalar o actualizar el host ESXi a vSphere 7.0 Update 2 o posterior, ocurre lo siguiente:

Si el host ESXi tiene un TPM y está habilitado en el firmware, el archivo de configuración archivado se cifra mediante una clave de cifrado almacenada en el TPM. A partir de este punto, la configuración del host está sellada por el TPM.
Si el host ESXi no tiene un TPM, ESXi utiliza una función de derivación de claves (KDF) para generar una clave de cifrado de configuración segura para el archivo de configuración archivado. Las entradas al archivo KDF se almacenan en el disco en el archivo encryption.info.

Nota: Cuando un host ESXi tiene un dispositivo TPM habilitado, se obtiene protección adicional.

Cuando el host ESXi se reinicia después del primer arranque, ocurre lo siguiente:

Si el host ESXi tiene un TPM, el host debe obtener la clave de cifrado del TPM para ese host específico. Si las mediciones de TPM cumplen la directiva de sellado que se utilizó al crear la clave de cifrado, el host obtiene la clave de cifrado del TPM.
Si el host ESXi no tiene un TPM, ESXi lee la información del archivo encryption.info para desbloquear la configuración segura.

Requisitos de configuración ESXi segura

ESXi 7.0 Update 2 o una versión posterior
TPM 2.0 para el cifrado de configuración y la capacidad de usar una directiva de sellado

Clave de recuperación de la configuración de ESXi segura

Una configuración de ESXi segura incluye una clave de recuperación. Si debe recuperar la configuración de ESXi segura, utilice una clave de recuperación cuyo contenido introduzca como opción de arranque de línea de comandos. Puede enumerar la clave de recuperación para crear una copia de seguridad de la clave de recuperación. También puede rotar la clave de recuperación como parte de los requisitos de seguridad.

Realizar una copia de seguridad de la clave de recuperación es una parte importante de la administración de la configuración de ESXi segura. vCenter Server genera una alarma para recordarle que cree una copia de seguridad de la clave de recuperación.

Alarma de clave de recuperación

Realizar una copia de seguridad de la clave de recuperación es una parte importante de la administración de la configuración de ESXi segura. Cada vez que un host de ESXi en modo TPM se conecta o se vuelve a conectar a vCenter Server, vCenter Server genera una alarma para recordarle que haga una copia de seguridad de la clave de recuperación. Cuando se restablece la alarma, no se vuelve a activar a menos que las condiciones cambien.

Prácticas recomendadas para la configuración de ESXi segura

Siga estas prácticas recomendadas para la clave de recuperación:

Cuando se enumera una clave de recuperación, esta se muestra temporalmente en un entorno que no es de confianza y se encuentra en la memoria. Quite los rastros de la clave.
- Al reiniciar el host, se elimina la clave residual de la memoria.
- Para mejorar la protección, puede habilitar el modo de cifrado en el host. Consulte Habilitar el modo de cifrado de host de forma explícita.
Al realizar una recuperación:
- Para eliminar cualquier rastreo de la clave de recuperación en un entorno que no sea de confianza, reinicie el host.
- Para mejorar la seguridad, rote la clave de recuperación para utilizar una nueva clave después de haber recuperado la clave una vez.