Les hôtes ESXi peuvent utiliser des puces TPM (Trusted Platform Modules), il s'agit de cryptoprocesseurs sécurisés qui améliorent la sécurité de l'hôte en fournissant une assurance confiance ancrée dans le matériel et non dans le logiciel.

Présentation d'un TPM

Les TPM constituent un standard dans le secteur des cryptoprocesseurs sécurisés. Aujourd'hui, des puces TPM équipent la plupart des ordinateurs, des ordinateurs portables jusqu'aux ordinateurs de bureau et aux serveurs. vSphere 6.7 et les versions ultérieures prennent en charge la version 2.0 du TPM.

Une puce TPM 2.0 atteste d'une identité ESXi d'un hôte. L'attestation par hôte est le processus d'authentification et d'attestation de l'état du logiciel sur un hôte à un moment précis. Le démarrage sécurisé UEFI, qui garantit que le logiciel signé uniquement est chargé au moment du démarrage, est nécessaire pour que l'attestation soit réussie. La puce TPM 2.0 enregistre et stocke de manière sécurisée des mesures de modules logiciels démarrés dans le système, que vCenter Server vérifie à distance.

Les principales étapes du processus d'attestation à distance sont les suivantes :

  1. Établissez la fiabilité du TPM distant et créez une clé d'attestation (AK) sur celui-ci.

    Lorsqu'un hôte ESXi est ajouté à, redémarré depuis ou s'est reconnecté à vCenter Server, vCenter Server demande une AK à l'hôte. Une partie du processus de création de l'AK implique également la vérification du matériel TPM lui-même, pour vous assurer qu'il a été produit par un fournisseur connu (et approuvé).

  2. Récupérez le rapport d'attestation à partir de l'hôte.

    vCenter Server demande que l'hôte envoie un rapport d'attestation, contenant un extrait des registres PCR (Platform Configuration Registers) signé par le TPM et d'autres métadonnées binaires hôte signées. En vérifiant que les informations correspondent à une configuration qu'il estime approuvée, vCenter Server identifie la plate-forme d'hôte précédemment non approuvé.

  3. Vérifiez l'authenticité de l'hôte.

    vCenter Server vérifie l'authenticité du devis signé, déduit les versions de logiciel et détermine la fiabilité de ces dernières. Si vCenter Server détermine que le devis signé n'est pas valide, l'attestation à distance échoue et l'hôte n'est pas approuvé.

Configuration vSphere requise pour utiliser un TPM

Pour utiliser une puce TPM 2.0, votre environnement vCenter Server doit respecter certaines conditions requises :

  • vCenter Server 6.7 ou une version ultérieure
  • Hôte ESXi 6.7 ou version ultérieure avec une puce TPM 2.0 installée et activée en mode UEFI
  • Démarrage sécurisé UEFI activé

Assurez-vous que le module TPM est configuré dans le BIOS de l'hôte ESXi pour utiliser l'algorithme de hachage SHA-256 et l'interface TIS/FIFO (First-In, First-Out, premier entré, premier sorti), mais pas le CRB (Command Response Buffer, tampon de réponse de la commande). Pour plus d'informations sur la définition de ces options BIOS requises, consultez la documentation du fournisseur.

Consultez les puces TPM 2.0 certifiées par VMware à l'emplacement suivant :

https://www.vmware.com/resources/compatibility/search.php

Que se passe-t-il lorsque vous démarrez un hôte avec un TPM ?

Lorsque vous démarrez un hôte ESXi avec une puce TPM 2.0 installée, vCenter Server surveille l'état de l'attestation de l'hôte. Pour afficher l'état d'approbation du matériel, dans vSphere Client, sélectionnez vCenter Server, puis l'onglet Résumé sous Sécurité. Le matériel présente l'un des états d'approbation suivants :

  • Vert : état normal, indique une confiance totale.
  • Rouge : échec de l'attestation.
Note : Si vous ajoutez une puce TPM 2.0 à un hôte ESXi déjà géré par vCenter Server, vous devez d'abord déconnecter l'hôte, puis le reconnecter. Pour plus d'informations sur la déconnexion et la reconnexion des hôtes, consultez la documentation Gestion de vCenter Server et des hôtes.

Avec vSphere 7.0 et versions ultérieures, VMware® vSphere Trust Authority™ utilise des capacités d'attestation à distance pour les hôtes ESXi. Reportez-vous à la section Qu'est-ce que le Autorité d'approbation vSphere service d'attestation ?.

Afficher l'état de l'attestation de l'hôte ESXi

Lors de l'ajout à un hôte ESXi, une puce TPM 2.0 atteste de l'intégrité de la plate-forme. Vous pouvez afficher l'état de l'attestation de l'hôte dans vSphere Client. Vous pouvez également afficher l'état Intel Trusted Execution Technology (TXT).

Procédure

  1. Connectez-vous à vCenter Server à l'aide de vSphere Client.
  2. Accédez à un centre de données et cliquez sur l'onglet Surveiller.
  3. Cliquez sur Sécurité.
  4. Vérifiez l'état de l'hôte dans la colonne Attestation et lisez le message qui l'accompagne dans la colonne Message.
  5. Si cet hôte est un hôte approuvé, consultez Afficher l'état d'attestation du cluster approuvé pour plus d'informations.

Que faire ensuite

Pour un état de l'attestation sur Échec ou Avertissement, reportez-vous à la section Résoudre les problèmes d'attestation de l'hôte ESXi. Pour les hôtes approuvés, consultez Résoudre les problèmes d'attestation d'hôte approuvé.

Résoudre les problèmes d'attestation de l'hôte ESXi

Lorsque vous installez un périphérique TPM (module de plate-forme sécurisée) sur un hôte ESXi, l'attestation de l'hôte peut échouer. Vous pouvez résoudre les causes potentielles de ce problème.

Procédure

  1. Permet d'afficher l'état de l'alarme de l'hôte ESXi et le message d'erreur qui l'accompagne. Reportez-vous à la section Afficher l'état de l'attestation de l'hôte ESXi.
  2. Si le message d'erreur est Le démarrage sécurisé hôte a été désactivé, vous devez réactiver le démarrage sécurisé pour résoudre le problème.
  3. Si l'état d'attestation de l'hôte est Échec, vérifiez le message suivant dans le fichier vCenter Server vpxd.log :
    Aucune clé d'identité en cache, chargement depuis la base de données
    Ce message indique que vous ajoutez une puce TPM 2.0 à un hôte ESXi déjà géré par vCenter Server. Vous devez d'abord déconnecter l'hôte, puis le reconnecter. Pour plus d'informations sur la déconnexion et la reconnexion des hôtes, consultez la documentation Gestion de vCenter Server et des hôtes.
    Pour plus d'informations sur les fichiers journaux de vCenter Server, notamment l'emplacement et la rotation des journaux, consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/1021804.
  4. Pour tous les autres messages d'erreur, contactez le support technique.