Dans ESXi 8.0 et versions ultérieures, l'implémentation de l'entropie ESXi prend en charge les certifications FIPS 140-3 et EAL4. Les options de démarrage du noyau contrôlent les sources d'entropie à activer sur un hôte ESXi.

Dans le calcul, le terme « entropie » fait référence à des caractères et des données aléatoires qui sont collectés pour une utilisation dans le chiffrement, comme la génération de clés de chiffrement pour sécuriser les données transmises sur un réseau. L'entropie est requise par la sécurité pour générer des clés et communiquer en toute sécurité sur le réseau. L’entropie est souvent collectée à partir de diverses sources sur un système.

La gestion de l'entropie FIPS est le comportement par défaut si les conditions suivantes sont vraies.

  1. Le matériel prend en charge RDSEED.
  2. L'option de démarrage Vmkernel disableHwrng n'est pas présente ou a la valeur FALSE.
  3. L'option de démarrage VMkernel entropySources n'est pas présente ou a une valeur égale à 0 (zéro) ou 4.
Avertissement : Lorsque vous configurez un hôte ESXi avec entropySources pour l'entropie externe uniquement (c'est-à-dire que entropySources est défini sur 8), vous devez continuer à fournir l'entropie externe à l'hôte à l'aide de l'API d'entropie. Si l'entropie s'épuise dans l'hôte, celui-ci cesse de répondre. Pour résoudre cette situation. Redémarrez l'hôte. Si l'hôte ne répond toujours pas, vous devez réinstaller ESXi.

À partir d'ESXi 8.0 Update 1, vous pouvez configurer des sources d'entropie externes dans le fichier kickstart pour une installation basée sur un script. Vous pouvez configurer ESXi dans un environnement hautement sécurisé pour consommer l'entropie à partir de sources d'entropie externes, telles qu'un module de sécurité matérielle (HSM), et s'aligner sur des normes telles que les critères communs BSI, EAL4 et NIST FIPS CMVP, à l'aide de la méthode d'installation basée sur script. Pour plus d'informations sur la configuration des sources d'entropie externes, consultez la documentation Installation et configuration de VMware ESXi.

Vous pouvez configurer le sous-système Entropie ESXi à l'aide des options de démarrage VMkernel suivantes :

Tableau 1. Options de démarrage VMkernel Entropie ESXi
Option de démarrage VMkernel Type d'option Description Valeur par défaut
disableHwrng (disponible dans les versions antérieures à vSphere 8.0) Booléen Désactive les sources d'entropie RDRAND et RDSEED lorsque sa valeur est définie sur TRUE (remplace « entropySources »). FALSE

Active les sources d'entropie générant des nombres aléatoires pour le matériel.
entropySources (disponible à partir de vSphere 8.0) Entier, Masque de bits Spécifie les sources d'entropie à activer.
  • 0 (par défaut)

Valeurs de masque de bits :

  • 1=interrupts
  • 2=RDRAND
  • 4=RDSEED
  • 8=entropyd (le traitement de l'entropie EAL4 est activé)
Si vous choisissez entropySources=9, cela active les interruptions et les sources d'entropie de l'espace utilisateur, et désactive les sources d'entropie RDRAND et RDSEED.		 0 (zéro)

Si RDSEED est pris en charge, la valeur par défaut est conformité FIPS. Sinon, la valeur par défaut est toutes les sources d'entropie, à l'exception d'entropyd.
Note : Avant d'effectuer une modification pour utiliser uniquement des sources d'entropie RDRAND, RDSEED ou les deux, consultez la documentation de votre fournisseur pour vous assurer que votre hôte ESXi prend en charge ces configurations. Si votre hôte ne prend pas en charge ces configurations, vCenter Server vous avertit avec une alerte et l'hôte revient à l'utilisation des sources d'entropie d'interruption et d'espace utilisateur.

Conditions préalables

Vous devez disposer d'un accès racine sur l'hôte ESXi.

Procédure

  1. Utilisez SSH ou une autre connexion de console à distance pour démarrer une session sur l'hôte ESXi.
  2. Connectez-vous en tant qu'utilisateur racine.
  3. Définissez les options de démarrage VMkernel d'entropie souhaitées.
    1. Pour désactiver les sources d'entropie RDRAND et RDSEED pour disableHwrng : 
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. Pour définir entropySources : 
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      Reportez-vous au tableau précédent pour connaître les valeurs que vous pouvez définir pour entropySources.