En ESXi 8.0 y versiones posteriores, la implementación de entropía de ESXi admite las certificaciones FIPS 140-3 y EAL4. Las opciones de arranque del kernel controlan qué orígenes de entropía se activan en un host ESXi.
En computación, el término "entropía" hace referencia a los caracteres aleatorios y los datos que se recopilan para su uso en criptografía, como la generación de claves de cifrado para proteger los datos transmitidos a través de una red. La seguridad requiere entropía para generar claves y comunicarse de forma segura a través de la red. La entropía a menudo se recopila entre una variedad de orígenes en un sistema.
El manejo de entropía de FIPS es el comportamiento predeterminado si se cumplen las siguientes condiciones.
- El hardware es compatible con RDSEED.
- La opción de arranque de VMkernel disableHwrng no está presente o es FALSE.
- La opción de arranque de VMkernel entropySources no está presente, es 0 (cero) o es 4.
A partir de ESXi 8.0 Update 1, es posible configurar orígenes de entropía externos en el archivo de inicio de una instalación generada por script. Puede configurar ESXi en un entorno de alta seguridad para consumir entropía de orígenes de entropía externos, como un módulo de seguridad de hardware (Hardware Security Module, HSM), y alinearse con estándares como BSI Common Criteria, EAL4 y NIST FIPS CMVP, mediante el método de instalación por script. Para obtener más información sobre la configuración de fuentes de entropía externas, consulte la documentación de Instalar y configurar VMware ESXi.
Puede configurar el subsistema de entropía de ESXi mediante las siguientes opciones de arranque de VMkernel:
Opción de arranque de VMkernel | Tipo de opción | Descripción | Valor predeterminado |
---|---|---|---|
disableHwrng (disponible antes de vSphere 8.0) | Booleano | Desactiva los orígenes de entropía RDRAND y RDSEED cuando se establecen en TRUE (reemplaza a "entropySources"). | FALSE Si está presente, activa orígenes de entropía del generador de números aleatorios del hardware. |
entropySources (disponible a partir de vSphere 8.0) | Entero, máscara de bits | Especifica qué orígenes de entropía se activarán.
Valores de máscara de bits:
|
0 (cero) Si se admite RDSEED, el valor predeterminado es la conformidad con FIPS. De lo contrario, el valor predeterminado son todos los orígenes de entropía, excepto entropyd. |
Requisitos previos
Debe tener acceso raíz en el host ESXi.
Procedimiento
- Utilice SSH u otra conexión de consola remota para iniciar una sesión en el host de ESXi.
- Inicie sesión como raíz.
- Establezca las opciones de arranque de VMkernel de entropía que desee.
- Para desactivar los orígenes de entropía RDRAND y RDSEED para disableHwrng:
esxcli system settings kernel set -s disableHwrng -v TRUE
- Para establecer entropySources:
esxcli system settings kernel set -s entropySources -v entropy_source_value
Consulte la tabla anterior para ver los valores que se pueden establecer para entropySources.
- Para desactivar los orígenes de entropía RDRAND y RDSEED para disableHwrng: