Les hôtes ESXi peuvent utiliser des puces TPM (Trusted Platform Modules), il s'agit de cryptoprocesseurs sécurisés qui améliorent la sécurité de l'hôte en fournissant une assurance confiance ancrée dans le matériel et non dans le logiciel.

Les TPM constituent un standard dans le secteur des cryptoprocesseurs sécurisés. Des puces TPM se trouvent aujourd'hui dans la plupart des ordinateurs, des ordinateurs portables aux ordinateurs de bureau et aux serveurs. vSphere 6.7 et version ultérieure prennent en charge la version 2.0 du TPM.

Une puce TPM 2.0 atteste de l'identité d'un hôte ESXi. L'attestation par hôte est le processus d'authentification et d'attestation de l'état du logiciel hôte à un moment précis. Le démarrage sécurisé UEFI, qui garantit que le logiciel signé uniquement est chargé au moment du démarrage, est nécessaire pour que l'attestation soit réussie. La puce TPM 2.0 enregistre et stocke de manière sécurisée des mesures de modules logiciels démarrés dans le système, que vCenter Server vérifie à distance.

Les principales étapes du processus d'attestation à distance sont les suivantes :

  1. Établissez la fiabilité du TPM distant et créez une clé d'attestation (AK) sur celui-ci.

    Lorsqu'un hôte ESXi est ajouté à, redémarré depuis ou s'est reconnecté à vCenter Server, vCenter Server demande une AK à l'hôte. Une partie du processus de création de l'AK implique également la vérification du matériel TPM lui-même, pour vous assurer qu'il a été produit par un fournisseur connu (et approuvé).

  2. Récupérez le rapport d'attestation à partir de l'hôte.

    vCenter Server demande que l'hôte envoie un rapport d'attestation, contenant un extrait des registres PCR (Platform Configuration Registers) signé par le TPM et d'autres métadonnées binaires hôte signées. En vérifiant que les informations correspondent à une configuration qu'il estime approuvée, vCenter Server identifie la plate-forme d'hôte précédemment non approuvé.

  3. Vérifiez l'authenticité de l'hôte.

    vCenter Server vérifie l'authenticité du devis signé, déduit les versions de logiciel et détermine la fiabilité de ces dernières. Si vCenter Server détermine que le devis signé n'est pas valide, l'attestation à distance échoue et l'hôte n'est pas approuvé.

Pour utiliser une puce TPM 2.0, votre environnement vCenter Server doit respecter certaines conditions requises :

  • vCenter Server 6.7 ou une version ultérieure
  • Hôte ESXi 6.7 ou version ultérieure avec une puce TPM 2.0 installée et activée en mode UEFI
  • Démarrage sécurisé UEFI activé

Assurez-vous que le module TPM est configuré dans le BIOS de l'hôte ESXi pour utiliser l'algorithme de hachage SHA-256 et l'interface TIS/FIFO (First-In, First-Out, premier entré, premier sorti), mais pas le CRB (Command Response Buffer, tampon de réponse de la commande). Pour plus d'informations sur la définition de ces options BIOS requises, consultez la documentation du fournisseur.

Consultez les puces TPM 2.0 certifiées par VMware à l'emplacement suivant :

https://www.vmware.com/resources/compatibility/search.php

Lorsque vous démarrez un hôte ESXi avec une puce TPM 2.0, vCenter Server surveille l'état de l'attestation de l'hôte. vSphere Client affiche l'état de confiance du matériel dans l'onglet Résumé de vCenter Server, sous Sécurité, avec les alarmes suivantes :

  • Vert : état normal, indique une confiance totale.
  • Rouge : échec de l'attestation.
Note : Si vous ajoutez une puce TPM 2.0 à un hôte ESXi déjà géré par vCenter Server, vous devez d'abord déconnecter l'hôte, puis le reconnecter. Pour plus d'informations sur la déconnexion et la reconnexion des hôtes, consultez la documentation Gestion de vCenter Server et des hôtes.