Gli host ESXi possono utilizzare dei chip Trusted Platform Module (TPM), ovvero processori di crittografia sicuri che migliorano la sicurezza degli host fornendo una garanzia di attendibilità radicata nell'hardware anziché nel software.

Che cos'è un TPM

TPM è uno standard a livello di settore per processori di crittografia sicuri. Oggi, i chip TPM si trovano nella maggior parte dei computer, dai laptop ai desktop e ai server. vSphere 6.7 e versioni successive supportano TPM versione 2.0.

Un chip TPM 2.0 attesta un'identità ESXi di un host. L'attestazione dell'host è il processo di autenticazione e attestazione dello stato del software in un host in un determinato momento. L'avvio protetto UEFI, che assicura che solo il software firmato venga caricato all'avvio, è un requisito per l'attestazione corretta. Il chip TPM 2.0 registra e archivia in modo sicuro le misure dei moduli software avviati nel sistema, che vCenter Server verifica da remoto.

I passaggi di alto livello del processo di attestazione remota sono:

  1. Stabilire l'attendibilità del TPM remoto e creare una chiave di attestazione (AK) in tale chiave.

    Quando un host ESXi viene aggiunto a, riavviato da o riconnesso a vCenter Server, vCenter Server richiede un AK dall'host. Parte del processo di creazione di AK implica anche la verifica dell'hardware TPM per assicurarsi che sia stato prodotto da un vendor noto (e attendibile).

  2. Recuperare il report di attestazione dall'host.

    vCenter Server richiede che l'host invii un report sull'attestazione contenente un preventivo di Platform Configuration Register (PCR), firmato dal TPM, e altri metadati binari dell'host firmati. Verificando che le informazioni corrispondano a una configurazione ritenuta attendibile, un vCenter Server identifica la piattaforma su un host precedentemente non attendibile.

  3. Verificare l'autenticità dell'host.

    vCenter Server verifica l'autenticità del preventivo firmato, desume le versioni del software e determina l'attendibilità di tali versioni del software. Se vCenter Server stabilisce che il preventivo firmato non è valido, l'attestazione remota non riesce e l'host non è attendibile.

Quali sono i requisiti di vSphere per l'utilizzo di un TPM

Per utilizzare un chip TPM 2.0, l'ambiente di vCenter Server deve soddisfare i seguenti requisiti:

  • vCenter Server 6.7 o versioni successive
  • ESXi host 6.7 o versioni successive con chip TPM 2.0 installato e abilitato in UEFI
  • Avvio protetto UEFI abilitato

Assicurarsi che il TPM sia configurato nel BIOS dell'host ESXi per utilizzare l'algoritmo di hashing SHA-256 e l'interfaccia TIS/FIFO (First-In, First-Out) e non l'interfaccia CRB (Command Response Buffer). Per informazioni sull'impostazione di queste opzioni del BIOS richieste, fare riferimento alla documentazione del fornitore.

Rivedere i chip TPM 2.0 certificati da VMware nella seguente posizione:

https://www.vmware.com/resources/compatibility/search.php

Che cosa succede quando si avvia un host con un TPM

Quando si avvia un host ESXi con un chip TPM 2.0 installato, vCenter Server monitora lo stato dell'attestazione dell'host. Per visualizzare lo stato dell'attendibilità dell'hardware, in vSphere Client, selezionare vCenter Server, quindi la scheda Riepilogo in Sicurezza. Lo stato di attendibilità dell'hardware è uno dei seguenti:

  • Verde: stato normale che indica l'attendibilità completa.
  • Rosso: attestazione non riuscita.
Nota: Se si aggiunge un chip TPM 2.0 a un host ESXi che vCenter Server gestisce già, occorre innanzitutto disconnettere l'host, quindi riconnetterlo. Vedere la documentazione di vCenter Server e gestione degli host per ottenere informazioni sulla disconnessione e la riconnessione degli host.

Con vSphere 7.0 e versioni successive, VMware® vSphere Trust Authority™ utilizza funzionalità di attestazione remota per gli host ESXi. Vedere Che cos'è il servizio di attestazione vSphere Trust Authority?.

Visualizzazione dello stato dell'attestazione host ESXi

Quando si esegue l'aggiunta a un host ESXi, un chip compatibile con Trusted Platform Module 2.0 attesta l'integrità della piattaforma. È possibile visualizzare lo stato dell'attestazione dell'host in vSphere Client. È inoltre possibile visualizzare lo stato di Intel Trusted Execution Technology (TXT).

Procedura

  1. Connettersi a vCenter Server utilizzando vSphere Client.
  2. Andare a un data center e fare clic sulla scheda Monitora.
  3. Fare clic su Sicurezza.
  4. Verificare lo stato dell'host nella colonna Attestazione e leggere il messaggio di accompagnamento nella colonna Messaggio.
  5. Se l'host è attendibile, vedere Visualizzazione dello stato di attestazione del cluster attendibile per ulteriori informazioni.

Operazioni successive

Per lo stato dell'attestazione di Errore o Avviso, vedere Risoluzione dei problemi di attestazione host ESXi. Per gli Host attendibili, vedere Risoluzione dei problemi di attestazione dell'host attendibile.

Risoluzione dei problemi di attestazione host ESXi

Quando si installa un dispositivo Trusted Platform Module (TPM) in un host ESXi, è possibile che l'host non riesca a passare l'attestazione. È possibile risolvere le potenziali cause di questo problema.

Procedura

  1. Visualizzare lo stato dell'allarme host ESXi e il relativo messaggio di errore. Vedere Visualizzazione dello stato dell'attestazione host ESXi.
  2. Se il messaggio di errore è l'avvio sicuro dell'host è stato disabilitato ed è necessario riattivare l'avvio sicuro per risolvere il problema.
  3. Se lo stato dell'attestazione dell'host non è riuscito, controllare il file vCenter Server vpxd.log per verificare il messaggio seguente:
    Nessuna chiave di identità memorizzata nella cache, caricamento da DB
    Questo messaggio indica che si sta aggiungendo un chip TPM 2.0 a un host ESXi che vCenter Server gestisce già. Occorre innanzitutto disconnettere l'host e ricollegarlo. Vedere la documentazione vCenter Server e gestione degli host per ottenere informazioni sulla disconnessione e la riconnessione degli host.
    Per ulteriori informazioni sui file di registro vCenter Server, inclusa la posizione e la rotazione dei registri, vedere l'articolo della Knowledge Base VMware in https://kb.vmware.com/s/article/1021804.
  4. Per tutti gli altri messaggi di errore, contattare l'assistenza clienti.