Dans vSphere 7.0 Update 2 et versions ultérieures, la configuration d'ESXi est protégée par chiffrement.
Qu'est-ce qu'une configuration d'ESXi sécurisée ?
De nombreux services ESXi stockent des secrets dans leurs fichiers de configuration. Ces configurations sont persistantes dans la banque de démarrage d'un hôte ESXi en tant que fichier archivé. Avant vSphere 7.0 Update 2, le fichier de configuration ESXi archivé n'était pas chiffré. Dans vSphere 7.0 Update 2 et versions ultérieures, le fichier de configuration archivé est chiffré. Par conséquent, les pirates ne peuvent pas lire ou modifier ce fichier directement, même s'ils ont un accès physique au stockage de l'hôte ESXi.
En plus d'empêcher aux pirates d'accéder aux secrets, une configuration ESXi sécurisée utilisée avec un TPM peut enregistrer les clés de chiffrement de la machine virtuelle lors des redémarrages. Lorsque l'hôte ESXi est configuré avec un TPM, le TPM est utilisé pour « sceller » la configuration sur l'hôte, fournissant ainsi une garantie de sécurité renforcée. Par conséquent, les charges de travail chiffrées peuvent continuer à fonctionner lorsqu'un serveur de clés est indisponible ou inaccessible. Reportez-vous à la section Persistance de clé vSphere sur des hôtes ESXi.
Vous n'avez pas besoin d'activer le chiffrement de la configuration d'ESXi manuellement. Lorsque vous installez ou mettez à niveau vers vSphere 7.0 Update 2 ou version ultérieure, le fichier de configuration ESXi archivé est chiffré.
Pour les tâches associées à une configuration ESXi sécurisée, reportez-vous à la section Gérer une configuration ESXi sécurisée.
Fichiers de configuration ESXi avant vSphere 7.0 Update 2
La configuration d'un hôte ESXi se compose de fichiers de configuration pour chaque service qui s'exécute sur l'hôte. Les fichiers de configuration résident généralement dans le répertoire /etc/, mais ils peuvent également résider dans d'autres espaces de noms. Les fichiers de configuration contiennent des informations d' run-time sur l'état des services . Au fil du temps, les valeurs par défaut dans les fichiers de configuration peuvent être modifiées. Par exemple, lorsque vous modifiez les paramètres sur l'hôte ESXi. Une tâche cron sauvegarde régulièrement les fichiers de configuration ESXi ou lorsque ESXi s'arrête normalement ou à la demande, puis de crée un fichier de configuration archivé dans la banque de démarrage. Lorsque ESXi redémarre, il lit le fichier de configuration archivé et recrée l'état dans lequel ESXi était lors de la sauvegarde. Avant vSphere 7.0 Update 2, le fichier de configuration archivé n'était pas chiffré. Par conséquent, il est possible pour un pirate ayant accès au stockage ESXi physique de lire et de modifier ce fichier lorsque le système est hors ligne.
Comment mettre en œuvre de la configuration d'ESXi sécurisée ?
Lors du premier démarrage après l'installation ou la mise à niveau de l'hôte ESXi vers vSphere 7.0 Update 2, les événements suivants se produisent :
- Si l'hôte ESXi dispose d'un TPM et qu'il est activé dans le microprogramme, le fichier de configuration archivé est chiffré par une clé de chiffrement stockée dans le TPM. À partir de ce moment, la configuration de l'hôte est scellée par le TPM.
- Si l'hôte ESXi n'a pas de TPM, ESXi utilise une fonction KDF (fonction de dérivation de clés) pour générer une clé de chiffrement de la configuration sécurisée pour le fichier de configuration archivé. Les entrées du fichier KDF sont stockées sur le disque dans le fichier encryption.info.
Lorsque l'hôte ESXi redémarre après le premier démarrage, les événements suivants se produisent :
- Si l'hôte ESXi dispose d'un TPM, l'hôte doit obtenir la clé de chiffrement à partir du TPM pour cet hôte spécifique. Si les mesures TPM répondent à la stratégie de scellement qui a été utilisée lors de la création de la clé de chiffrement, l'hôte obtient la clé de chiffrement à partir du TPM.
- Si l'hôte ESXi n'a pas de TPM, ESXi lit les informations du fichier encryption.info pour déverrouiller la configuration sécurisée.
Exigences relatives à la configuration ESXi sécurisée
- ESXi 7.0 mise à jour 2 ou supérieur
- TPM 2.0 pour le chiffrement de la configuration et la possibilité d'utiliser une stratégie de scellement
Clé de récupération de la configuration ESXi sécurisée
Une configuration ESXi sécurisée inclut une clé de récupération. Si vous devez récupérer la configuration ESXi sécurisée, vous devez utiliser une clé de récupération dont vous entrez le contenu comme option de démarrage de la ligne de commande. Vous pouvez lister la clé de récupération pour créer une sauvegarde de clé de récupération. Vous pouvez également effectuer une rotation de la clé de récupération dans le cadre de vos exigences de sécurité.
La sauvegarde de la clé de récupération est un élément important dans la gestion de votre configuration ESXi sécurisée. vCenter Server génère une alarme pour vous rappeler de sauvegarder la clé de récupération.
Alarme de la clé de récupération de la configuration ESXi sécurisée
La sauvegarde de la clé de récupération est un élément important dans la gestion de votre configuration ESXi sécurisée. Chaque fois qu'un hôte ESXi en mode TPM est connecté ou reconnecté à vCenter Server, vCenter Server génère une alarme pour vous rappeler de sauvegarder la clé de récupération. Lorsque vous réinitialisez l'alarme, elle ne se déclenche plus, sauf si les conditions changent.
Meilleures pratiques pour la configuration ESXi sécurisée
Suivez ces recommandations pour la clé de récupération ESXi sécurisée :
- Lorsque vous ré listez une clé de récupération, elle est temporairement affichée dans un environnement non sécurisé et se trouve dans la mémoire. Supprimez les traces de la clé.
- Le redémarrage de l'hôte supprime la clé résiduelle dans la mémoire.
- Pour une protection améliorée vous pouvez activer le mode de chiffrement sur l'hôte. Reportez-vous à la section Activer explicitement le mode de chiffrement de l'hôte.
- Lorsque vous effectuez une récupération :
- Pour éliminer toute trace de la clé de récupération dans un environnement non sécurisé, redémarrez l'hôte.
- Pour une sécurité renforcée, faites pivoter la clé de récupération pour utiliser une nouvelle clé après avoir récupéré la clé une première fois.
Quelles sont les stratégies de scellement de TPM ?
Un TPM peut utiliser des mesures PCR (Platform Configuration Register) pour mettre en œuvre des stratégies qui limitent l'accès non autorisé aux données sensibles. Lorsque vous installez ou mettez à niveau un hôte ESXi avec un TPM vers vSphere 7.0 Update 2 et versions ultérieures, le TPM scelle les informations sensibles à l'aide d'une stratégie qui intègre le paramètre de démarrage sécurisé. Cette stratégie vérifie que si le démarrage sécurisé a été activé lorsque les données ont été scellées pour la première fois avec le TPM, alors le démarrage sécurisé doit toujours être activé lors de la tentative de descellement des données au cours d'un démarrage ultérieur.
Le démarrage sécurisé est une fonctionnalité standard du microprogramme UEFI. Lorsque le démarrage sécurisé UEFI est activé, si le chargeur de démarrage du système d'exploitation ne possède pas de signature numérique valide, l'hôte refuse de charger un pilote ou une application UEFI.
Vous pouvez choisir de désactiver ou d'activer l'application du démarrage sécurisé UEFI. Reportez-vous à la section Activer ou désactiver l'application du démarrage sécurisé pour une configuration d'ESXi sécurisée.
esxcli system settings encryption set --mode=TPMAprès avoir activé le TPM, vous ne pouvez plus annuler ce paramètre.
esxcli system settings encryption set
échoue sur certains TPM, même lorsque le TPM est activé pour l'hôte.
- Dans vSphere 7.0 Update 2 : les TPM de NationZ (NTZ), Infineon Technologies (IFX) et certains nouveaux modèles (tels que NPCT75x) de Nuvoton Technologies Corporation (NTC)
- Dans vSphere 7.0 Update 3 : TPM provenant de NationZ (NTZ)
Si une installation ou une mise à niveau de vSphere 7.0 Update 2 ou version ultérieure ne parvient pas à utiliser le TPM lors du premier démarrage, l'installation ou la mise à niveau se poursuit et le mode est défini par défaut sur AUCUN (c'est-à-dire --mode=NONE
). Le comportement qui en résulte est comme si le TPM n'était pas activé.
Le TPM peut également appliquer le paramètre pour l'option de démarrage execInstalledOnly dans la stratégie de scellement. L'application execInstalledOnly est une option de démarrage ESXi avancée qui garantit que VMkernel exécute uniquement les fichiers binaires qui ont été correctement empaquetés et signés dans le cadre d'un VIB. L'option de démarrage execInstalledOnly est dépendante de l'option de démarrage sécurisé. L'application du démarrage sécurisé doit être activée avant de pouvoir appliquer l'option de démarrage execInstalledOnly dans la stratégie de scellement. Reportez-vous à la section Activer ou désactiver l'application d'execInstalledOnly pour une configuration d'ESXi sécurisée.