Dans ESXi 8.0 et versions ultérieures, l'implémentation de l'entropie ESXi prend en charge les certifications FIPS 140-3 et EAL4. Les options de démarrage du noyau contrôlent les sources d'entropie à activer sur un hôte ESXi.
Dans le calcul, le terme « entropie » fait référence à des caractères et des données aléatoires qui sont collectés pour une utilisation dans le chiffrement, comme la génération de clés de chiffrement pour sécuriser les données transmises sur un réseau. L'entropie est requise par la sécurité pour générer des clés et communiquer en toute sécurité sur le réseau. L’entropie est souvent collectée à partir de diverses sources sur un système.
La gestion de l'entropie FIPS est le comportement par défaut si les conditions suivantes sont vraies.
- Le matériel prend en charge RDSEED.
- L'option de démarrage Vmkernel disableHwrng n'est pas présente ou a la valeur FALSE.
- L'option de démarrage VMkernel entropySources n'est pas présente ou a une valeur égale à 0 (zéro) ou 4.
À partir d'ESXi 8.0 Update 1, vous pouvez configurer des sources d'entropie externes dans le fichier kickstart pour une installation basée sur un script. Vous pouvez configurer ESXi dans un environnement hautement sécurisé pour consommer l'entropie à partir de sources d'entropie externes, telles qu'un module de sécurité matérielle (HSM), et s'aligner sur des normes telles que les critères communs BSI, EAL4 et NIST FIPS CMVP, à l'aide de la méthode d'installation basée sur script. Pour plus d'informations sur la configuration des sources d'entropie externes, consultez la documentation Installation et configuration de VMware ESXi.
Vous pouvez configurer le sous-système Entropie ESXi à l'aide des options de démarrage VMkernel suivantes :
Option de démarrage VMkernel | Type d'option | Description | Valeur par défaut |
---|---|---|---|
disableHwrng (disponible dans les versions antérieures à vSphere 8.0) | Booléen | Désactive les sources d'entropie RDRAND et RDSEED lorsque sa valeur est définie sur TRUE (remplace « entropySources »). | FALSE Active les sources d'entropie générant des nombres aléatoires pour le matériel. |
entropySources (disponible à partir de vSphere 8.0) | Entier, Masque de bits | Spécifie les sources d'entropie à activer.
Valeurs de masque de bits :
|
0 (zéro) Si RDSEED est pris en charge, la valeur par défaut est conformité FIPS. Sinon, la valeur par défaut est toutes les sources d'entropie, à l'exception d'entropyd. |
Conditions préalables
Vous devez disposer d'un accès racine sur l'hôte ESXi.
Procédure
- Utilisez SSH ou une autre connexion de console à distance pour démarrer une session sur l'hôte ESXi.
- Connectez-vous en tant qu'utilisateur racine.
- Définissez les options de démarrage VMkernel d'entropie souhaitées.
- Pour désactiver les sources d'entropie RDRAND et RDSEED pour disableHwrng :
esxcli system settings kernel set -s disableHwrng -v TRUE
- Pour définir entropySources :
esxcli system settings kernel set -s entropySources -v entropy_source_value
Reportez-vous au tableau précédent pour connaître les valeurs que vous pouvez définir pour entropySources.
- Pour désactiver les sources d'entropie RDRAND et RDSEED pour disableHwrng :