À partir de vSphere 8.0, l'implémentation de l'entropie ESXi prend en charge les certifications FIPS 140-3 et EAL4. Les options de démarrage du noyau contrôlent les sources d'entropie à activer sur un hôte ESXi.

Dans le calcul, le terme « entropie » fait référence à des caractères et des données aléatoires qui sont collectés pour une utilisation dans le chiffrement, comme la génération de clés de chiffrement pour sécuriser les données transmises sur un réseau. L'entropie est requise par la sécurité pour générer des clés et communiquer en toute sécurité sur le réseau. L’entropie est souvent collectée à partir de diverses sources sur un système.

La gestion de l'entropie FIPS est le comportement par défaut si les conditions suivantes sont vraies.

  1. Le matériel prend en charge RDSEED.
  2. L'option de démarrage Vmkernel disableHwrng n'est pas présente ou a la valeur FALSE.
  3. L'option de démarrage VMkernel entropySources n'est pas présente ou a une valeur égale à 0 (zéro) ou 4.

Vous pouvez configurer le sous-système Entropie ESXi à l'aide des options de démarrage VMkernel suivantes :

Tableau 1. Options de démarrage VMkernel Entropie ESXi
Option de démarrage VMkernel Type d'option Description Valeur par défaut
disableHwrng (disponible dans les versions antérieures à vSphere 8.0) Booléen Désactive les sources d'entropie RDRAND et RDSEED lorsque sa valeur est définie sur TRUE (remplace « entropySources »). FALSE

Active les sources d'entropie générant des nombres aléatoires pour le matériel.

entropySources (disponible à partir de vSphere 8.0) Entier, Masque de bits Spécifie les sources d'entropie à activer.
  • 0=all
  • 1=interrupts
  • 2=rdrand
  • 4=rdseed
  • 8=userspace (le traitement de l'entropie EAL4 est activé)
Si vous choisissez entropySources=9, cela active les interruptions et les sources d'entropie de l'espace utilisateur, et désactive les sources d'entropie RDRAND et RDSEED.
0 (zéro)

Toutes les sources d’entropie disponibles sont activées.

Note : Avant d'effectuer une modification pour utiliser uniquement des sources d'entropie RDRAND, RDSEED ou les deux, consultez la documentation de votre fournisseur pour vous assurer que votre hôte ESXi prend en charge ces configurations. Si votre hôte ne prend pas en charge ces configurations, vCenter Server vous avertit avec une alerte et l'hôte revient à l'utilisation des sources d'entropie d'interruption et d'espace utilisateur.

Conditions préalables

Vous devez disposer d'un accès racine sur l'hôte ESXi.

Procédure

  1. Utilisez SSH ou une autre connexion de console distante pour démarrer une session sur l'hôte ESXi.
  2. Connectez-vous en tant qu'utilisateur racine.
  3. Définissez les options de démarrage VMkernel d'entropie souhaitées.
    1. Pour désactiver les sources d'entropie RDRAND et RDSEED pour disableHwrng :
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. Pour définir entropySources :
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      Reportez-vous au tableau précédent pour connaître les valeurs que vous pouvez définir pour entropySources.