En vSphere 7.0 Update 2 y versiones posteriores, la configuración de ESXi está protegida mediante el cifrado.
Qué es una configuración de ESXi segura
Muchos servicios ESXi guardan secretos en sus archivos de configuración. Estas configuraciones se conservan en un banco de arranque del host ESXi como un archivo archivado. Antes de vSphere 7.0 Update 2, el archivo de configuración ESXi archivado no está cifrado. En vSphere 7.0 Update 2 y versiones posteriores, se cifra el archivo de configuración archivado. Como resultado, los atacantes no pueden leer ni alterar este archivo directamente, incluso si tienen acceso físico al almacenamiento del host ESXi.
Además de evitar que un atacante acceda a secretos, una configuración segura de ESXi cuando se utiliza con un TPM puede guardar claves de cifrado de máquinas virtuales después de reiniciar. Cuando el host ESXi está configurado con un TPM, el TPM se utiliza para "sellar" la configuración en el host, lo que proporciona una garantía de seguridad sólida. Como resultado, las cargas de trabajo cifradas pueden seguir funcionando cuando un servidor de claves no está disponible o no se puede acceder a él. Consulte Persistencia de claves de vSphere en hosts ESXi.
No es necesario activar el cifrado de la configuración de ESXi manualmente. Cuando instala o actualiza a vSphere 7.0 Update 2 o posterior, se cifra el archivo de configuración ESXi archivado.
Para las tareas asociadas con una configuración de ESXi segura, consulte Administrar una configuración de ESXi segura.
Archivos de configuración de ESXi anteriores a vSphere 7.0 Update 2
La configuración de un host ESXi consta de archivos de configuración para cada servicio que se ejecuta en el host. Los archivos de configuración suelen residir en el directorio /etc/, pero también pueden residir en otros espacios de nombres. Los archivos de configuración contienen información en tiempo de ejecución sobre el estado de los servicios. Con el tiempo, los valores predeterminados de los archivos de configuración pueden cambiar, por ejemplo, cuando se cambia la configuración en el host ESXi. Un trabajo cron realiza una copia de seguridad de los archivos de configuración de ESXi periódicamente, o cuando ESXi se apaga correctamente o a pedido, y crea un archivo de configuración archivado en el banco de arranque. Cuando ESXi se reinicia, lee el archivo de configuración archivado y vuelve a crear el estado en el que ESXi estaba cuando se creó la copia de seguridad. Antes de vSphere 7.0 Update 2, el archivo de configuración archivado no está cifrado. Como resultado, es posible que un atacante que tenga acceso al almacenamiento de ESXi físico lea y altere este archivo mientras el sistema está sin conexión.
Cómo se implementa una configuración de ESXi segura
Durante el primer arranque después de instalar o actualizar el host ESXi a vSphere 7.0 Update 2 o posterior, ocurre lo siguiente:
- Si el host ESXi tiene un TPM y está activado en el firmware, el archivo de configuración archivado se cifra mediante una clave de cifrado almacenada en el TPM. A partir de este punto, la configuración del host está sellada por el TPM.
- Si el host ESXi no tiene un TPM, ESXi utiliza una función de derivación de claves (KDF) para generar una clave de cifrado de configuración segura para el archivo de configuración archivado. Las entradas al archivo KDF se almacenan en el disco en el archivo encryption.info.
Cuando el host ESXi se reinicia después del primer arranque, ocurre lo siguiente:
- Si el host ESXi tiene un TPM, el host debe obtener la clave de cifrado del TPM para ese host específico. Si las mediciones de TPM cumplen la directiva de sellado que se utilizó al crear la clave de cifrado, el host obtiene la clave de cifrado del TPM.
- Si el host ESXi no tiene un TPM, ESXi lee la información del archivo encryption.info para desbloquear la configuración segura.
Requisitos de configuración ESXi segura
- ESXi 7.0 Update 2 o una versión posterior
- TPM 2.0 para el cifrado de configuración y la capacidad de usar una directiva de sellado
Clave de recuperación de la configuración de ESXi segura
Una configuración de ESXi segura incluye una clave de recuperación. Si debe recuperar la configuración de ESXi segura, utilice una clave de recuperación cuyo contenido introduzca como opción de arranque de línea de comandos. Puede enumerar la clave de recuperación para crear una copia de seguridad de la clave de recuperación. También puede rotar la clave de recuperación como parte de los requisitos de seguridad.
Realizar una copia de seguridad de la clave de recuperación es una parte importante de la administración de la configuración de ESXi segura. vCenter Server genera una alarma para recordarle que cree una copia de seguridad de la clave de recuperación.
Alarma de la clave de recuperación de la configuración de ESXi segura
Realizar una copia de seguridad de la clave de recuperación es una parte importante de la administración de la configuración de ESXi segura. Cada vez que un host de ESXi en modo TPM se conecta o se vuelve a conectar a vCenter Server, vCenter Server genera una alarma para recordarle que haga una copia de seguridad de la clave de recuperación. Cuando se restablece la alarma, no se vuelve a activar a menos que las condiciones cambien.
Prácticas recomendadas para la configuración de ESXi segura
Siga estas prácticas recomendadas para la clave de recuperación de ESXi segura:
- Cuando se enumera una clave de recuperación, esta se muestra temporalmente en un entorno que no es de confianza y se encuentra en la memoria. Quite los rastros de la clave.
- Al reiniciar el host, se elimina la clave residual de la memoria.
- Para mejorar la protección, puede activar el modo de cifrado en el host. Consulte Activar el modo de cifrado de host de forma explícita.
- Al realizar una recuperación:
- Para eliminar cualquier rastreo de la clave de recuperación en un entorno que no sea de confianza, reinicie el host.
- Para mejorar la seguridad, rote la clave de recuperación para utilizar una nueva clave después de haber recuperado la clave una vez.
Qué son las directivas de sellado de TPM
Un TPM puede utilizar las mediciones del registro de configuración de la plataforma (Platform Configuration Register, PCR) para implementar directivas que restrinjan el acceso no autorizado a los datos confidenciales. Cuando instala vSphere 7.0 Update 2 y versiones posteriores en un host ESXi con un TPM o actualiza el host a dicha versión, el TPM sella la información confidencial mediante una directiva que incorpora la configuración de arranque seguro. Esta directiva comprueba que, si el arranque seguro se activó cuando los datos se sellaron por primera vez con el TPM, este siga estando activado cuando se intente quitar el sello de los datos en un arranque posterior.
El arranque seguro forma parte del estándar de firmware UEFI. Con el arranque seguro UEFI activado, un host se niega a cargar cualquier aplicación o controlador UEFI, salvo que el cargador de arranque del sistema operativo tenga una firma digital válida.
Puede desactivar o activar la aplicación del arranque seguro UEFI. Consulte Activar o desactivar la aplicación del arranque seguro para una configuración de ESXi segura.
esxcli system settings encryption set --mode=TPMUna vez que haya activado el TPM, no podrá deshacer la configuración.
esxcli system settings encryption set
en algunos TPM, incluso cuando el TPM está activado para el host.
- En vSphere 7.0 Update 2: TPM de NationZ (NTZ), Infineon Technologies (IFX) y ciertos modelos nuevos (como NPCT75x) de Nuvoton Technologies Corporation (NTC)
- En vSphere 7.0 Update 3: TPM de NationZ (NTZ)
Si una instalación o actualización de vSphere 7.0 Update 2 o una versión posterior no puede utilizar el TPM durante el primer arranque, la instalación o la actualización continúan y el modo predeterminado es NINGUNO (es decir, --mode=NONE
). El comportamiento resultante es como si el TPM no estuviera activado.
El TPM también puede aplicar la configuración para la opción de arranque execInstalledOnly en la directiva de sellado. La aplicación de execInstalledOnly es una opción avanzada de arranque de ESXi que garantiza que el Vmkernel ejecute solo archivos binarios que se empaquetaron y firmaron correctamente como parte de un VIB. La opción de arranque execInstalledOnly depende de la opción de arranque seguro. La aplicación del arranque seguro debe estar activada para poder aplicar la opción de arranque execInstalledOnly en la directiva de sellado. Consulte Activar o desactivar la aplicación execInstalledOnly para una configuración de ESXi segura.