En ESXi 8.0 y versiones posteriores, la implementación de entropía de ESXi admite las certificaciones FIPS 140-3 y EAL4. Las opciones de arranque del kernel controlan qué orígenes de entropía se activan en un host ESXi.

En computación, el término "entropía" hace referencia a los caracteres aleatorios y los datos que se recopilan para su uso en criptografía, como la generación de claves de cifrado para proteger los datos transmitidos a través de una red. La seguridad requiere entropía para generar claves y comunicarse de forma segura a través de la red. La entropía a menudo se recopila entre una variedad de orígenes en un sistema.

El manejo de entropía de FIPS es el comportamiento predeterminado si se cumplen las siguientes condiciones.

  1. El hardware es compatible con RDSEED.
  2. La opción de arranque de VMkernel disableHwrng no está presente o es FALSE.
  3. La opción de arranque de VMkernel entropySources no está presente, es 0 (cero) o es 4.
Advertencia: Cuando configura un host ESXi con entropySources solo para entropía externa (es decir, entropySources se establece en 8), debes seguir suministrando la entropía externa al host utilizando la API de entropía. Si se agota la entropía en el host, este deja de responder. Para recuperarse de esta situación, reinicie el host. Si el host sigue sin responder, debe volver a instalar ESXi.

A partir de ESXi 8.0 Update 1, es posible configurar orígenes de entropía externos en el archivo de inicio de una instalación generada por script. Puede configurar ESXi en un entorno de alta seguridad para consumir entropía de orígenes de entropía externos, como un módulo de seguridad de hardware (Hardware Security Module, HSM), y alinearse con estándares como BSI Common Criteria, EAL4 y NIST FIPS CMVP, mediante el método de instalación por script. Para obtener más información sobre la configuración de fuentes de entropía externas, consulte la documentación de Instalar y configurar VMware ESXi.

Puede configurar el subsistema de entropía de ESXi mediante las siguientes opciones de arranque de VMkernel:

Tabla 1. Opciones de arranque de VMkernel de entropía de ESXi
Opción de arranque de VMkernel Tipo de opción Descripción Valor predeterminado
disableHwrng (disponible antes de vSphere 8.0) Booleano Desactiva los orígenes de entropía RDRAND y RDSEED cuando se establecen en TRUE (reemplaza a "entropySources"). FALSE

Si está presente, activa orígenes de entropía del generador de números aleatorios del hardware.

entropySources (disponible a partir de vSphere 8.0) Entero, máscara de bits Especifica qué orígenes de entropía se activarán.
  • 0 (predeterminado)

Valores de máscara de bits:

  • 1 = interrupciones
  • 2 = RDRAND
  • 4 = RDSEED
  • 8 = entropyd (la gestión de entropía de EAL4 está activada)
Al especificar entropySources = 9, se activan las interrupciones y los orígenes de entropía del espacio de usuario, y se desactivan los orígenes de entropía RDRAND y RDSEED.
0 (cero)

Si se admite RDSEED, el valor predeterminado es la conformidad con FIPS. De lo contrario, el valor predeterminado son todos los orígenes de entropía, excepto entropyd.

Nota: Antes de hacer un cambio para usar únicamente los orígenes de entropía RDRAND, RDSEED o ambos, compruebe la documentación del proveedor para asegurarse de que el host ESXi admita dichas configuraciones. Si el host no admite esas configuraciones, vCenter Server le enviará una alerta y el host volverá a usar los orígenes de entropía de espacio de usuario e interrupciones.

Requisitos previos

Debe tener acceso raíz en el host ESXi.

Procedimiento

  1. Utilice SSH u otra conexión de consola remota para iniciar una sesión en el host de ESXi.
  2. Inicie sesión como raíz.
  3. Establezca las opciones de arranque de VMkernel de entropía que desee.
    1. Para desactivar los orígenes de entropía RDRAND y RDSEED para disableHwrng:
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. Para establecer entropySources:
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      Consulte la tabla anterior para ver los valores que se pueden establecer para entropySources.