Los hosts ESXi pueden utilizar los chips de los módulos de plataforma de confianza (Trusted Platform Module, TPM), los cuales son procesadores criptográficos seguros que mejoran la seguridad de los hosts, ya que proporcionan una garantía de confianza con acceso raíz en el hardware en lugar de en el software.

Qué es TPM

TPM es un estándar de la industria para los procesadores criptográficos seguros. Actualmente, los chips TPM se utilizan en la mayoría de los equipos, desde portátiles hasta equipos de escritorio y servidores. vSphere 6.7 y las versiones posteriores son compatibles con la versión 2.0 de TPM.

Un chip TPM 2.0 atesta una identidad de ESXi de un host. La atestación de host es el proceso que se sigue para autenticar y avalar el estado del software de un host en un momento específico. El arranque seguro UEFI, por el cual solo se carga software firmado en el arranque, es un requisito para la atestación exitosa. El chip TPM 2.0 registra y almacena de forma segura las mediciones de los módulos de software arrancados en el sistema, lo que vCenter Server verifica de forma remota.

Los pasos de alto nivel del proceso de atestación remota son:

  1. Establecer la confiabilidad del TPM remoto y crear una clave de atestación (Attestation Key, AK) en el módulo.

    Cuando un host ESXi se agrega a, se reinicia desde o se vuelve a conectar a vCenter Server, vCenter Server solicita una AK del host. Una parte del proceso de creación de AK también implica la verificación del hardware de TPM para garantizar que lo haya producido un proveedor conocido (y de confianza).

  2. Recuperar el informe de atestación del host.

    vCenter Server solicita que el host envíe un informe de atestación, el cual incluye una oferta de los registros de configuración de la plataforma (Platform Configuration Registers, PCR), firmada por TPM, y otros metadatos binarios de host firmados. Al comprobar que la información corresponde a una configuración que se considera de confianza, una instancia de vCenter Server identifica la plataforma en un host que anteriormente no era de confianza.

  3. Compruebe la autenticidad del host.

    vCenter Server verifica la autenticidad de la oferta firmada, deduce las versiones de software y determina la confiabilidad de las versiones de dicho software. Si vCenter Server determina que la oferta firmada no es válida, se produce un error en la atestación remota y el host no se considera de confianza.

Cuáles son los requisitos de vSphere para usar un TPM

Para utilizar un chip TPM 2.0, el entorno de vCenter Server debe cumplir estos requisitos:

  • vCenter Server 6.7 o versiones posteriores
  • Host ESXi 6.7 o versión posterior con un chip TPM 2.0 instalado y habilitado en UEFI
  • Arranque seguro UEFI habilitado

Asegúrese de que TPM esté configurado en el BIOS del host ESXi para utilizar el algoritmo de hash SHA-256 y la interfaz TIS/FIFO (First-In, First-Out), y no CRB (Command Response Buffer). Para obtener más información acerca de cómo configurar las opciones de la BIOS necesarias, consulte la documentación del proveedor.

Consulte los chips TPM 2.0 certificados por VMware en la siguiente ubicación:

https://www.vmware.com/resources/compatibility/search.php

Qué sucede al arrancar un host con TPM

Al arrancar un host ESXi con un chip TPM 2.0 instalado, vCenter Server supervisa el estado de atestación del host. Para ver el estado de confianza del hardware, en vSphere Client, seleccione vCenter Server y, a continuación, la pestaña Resumen en Seguridad. El estado de confianza del hardware es uno de los siguientes:

  • Verde: estado Normal, es decir, plena confianza.
  • Rojo: no se pudo atestar.
Nota: Si agrega un chip TPM 2.0 a un host ESXi que ya administra vCenter Server, primero debe desconectar el host y, a continuación, volver a conectarlo. Consulte la documentación de Administrar vCenter Server y hosts para obtener más información sobre cómo desconectar y volver a conectar hosts.

Con vSphere 7.0 y versiones posteriores, VMware® vSphere Trust Authority™ utiliza funcionalidades de atestación remota para hosts ESXi. Consulte Qué es el servicio de atestación de vSphere Trust Authority.

Ver el estado de atestación de un host ESXi

Cuando se agrega a un host ESXi, un chip compatible con Trusted Platform Module 2.0 atesta la integridad de la plataforma. Puede ver el estado de atestación del host en vSphere Client. También puede ver el estado de la tecnología de ejecución de confianza (Trusted Execution Technology, TXT) de Intel.

Procedimiento

  1. Conéctese a vCenter Server mediante vSphere Client.
  2. Desplácese hasta un centro de datos y haga clic en la pestaña Supervisar.
  3. Haga clic en Seguridad.
  4. Revise el estado del host en la columna Atestación y lea el mensaje adjunto en la columna Mensaje.
  5. Si este host es un host de confianza, consulte Ver el estado de atestación de un clúster de confianza para obtener más información.

Qué hacer a continuación

Si el estado de atestación es Error o Advertencia, consulte Solucionar problemas de atestación de host ESXi. Para los hosts de confianza, consulte Solucionar problemas de atestación de host de confianza.

Solucionar problemas de atestación de host ESXi

Cuando se instala un dispositivo con módulo de plataforma de confianza (Trusted Platform Module, TPM) en un host ESXi, es posible que este no pase la atestación. Puede solucionar las posibles causas de este problema.

Procedimiento

  1. Puede ver el estado de la alarma del host ESXi y el correspondiente mensaje de error. Consulte Ver el estado de atestación de un host ESXi.
  2. Si el mensaje de error es Arranque seguro de host deshabilitado, debe volver a habilitar el arranque seguro para resolver el problema.
  3. Si se produce un error en el estado de atestación del host, busque el siguiente mensaje en el archivo vpxd.log de vCenter Server:
    No hay ninguna clave de identidad en la memoria caché; se cargará de la base de datos
    Este mensaje indica que se está agregando un chip TPM 2.0 a un host de ESXi que ya administra vCenter Server. En primer lugar, debe desconectar el host y, a continuación, volver a conectarlo. Consulte la documentación de Administrar vCenter Server y hosts para obtener más información sobre cómo desconectar y reconectar hosts.
    Para obtener más información sobre los archivos de registro de vCenter Server, incluidas la ubicación y la rotación de registros, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/1021804.
  4. Para todos los demás mensajes es de error, póngase en contacto con soporte al cliente.