Da vSphere 7.0 Update 2 e versioni successive, la configurazione ESXi è protetta dalla crittografia.
Che cos'è una configurazione sicura di ESXi
Molti servizi ESXi archiviano i propri segreti nei rispettivi file di configurazione. Queste configurazioni rimangono nella boot bank di avvio di un host ESXi come file archiviato. Nelle versioni precedenti a vSphere 7.0 Update 2, il file di configurazione di ESXi archiviato non è crittografato. In vSphere 7.0 Update 2 e versioni successive, il file di configurazione archiviato è crittografato. Gli utenti malintenzionati non possono quindi leggere o modificare direttamente questo file, anche se hanno accesso fisico all'archivio dell'host ESXi.
Oltre a impedire a un utente malintenzionato di accedere ai segreti, una configurazione sicura ESXi utilizzata con un TPM può salvare le chiavi di crittografia della macchina virtuale durante i riavvii. Quando l'host ESXi è configurato con un TPM, il TPM viene utilizzato per "proteggere" la configurazione dell'host, fornendo una solida garanzia di sicurezza. Di conseguenza, i carichi di lavoro crittografati possono continuare a funzionare quando un server di chiavi non è disponibile oppure non è raggiungibile. Vedere Persistenza della chiave di vSphere negli host ESXi.
Non è necessario attivare manualmente la crittografia della configurazione di ESXi. Quando si esegue l'installazione o l'aggiornamento a vSphere 7.0 Update 2 o versione successiva, il file di configurazione di ESXi archiviato viene crittografato.
Per le attività associate a una configurazione sicura di ESXi, vedere Gestione di una configurazione ESXi sicura.
File di configurazione di ESXi prima di vSphere 7.0 Update 2
La configurazione di un host ESXi è costituita da file di configurazione per ogni servizio eseguito nell'host. I file di configurazione si trovano in genere nella directory /etc/, ma possono anche trovarsi in altri spazi dei nomi. I file di configurazione contengono informazioni in fase di esecuzione relative allo stato dei servizi. Nel tempo, i valori predefiniti nei file di configurazione possono cambiare, ad esempio quando si modificano le impostazioni nell'host ESXi. Un cron job esegue periodicamente il backup dei file di configurazione di ESXi o quando ESXi viene arrestato normalmente, oppure su richiesta, e crea un file di configurazione archiviato nel boot bank. Al riavvio, ESXi legge il file di configurazione archiviato e ricrea lo stato che ESXi aveva quando è stato eseguito il backup. Nelle versioni precedenti a vSphere 7.0 Update 2, il file di configurazione archiviato non è crittografato. Di conseguenza è possibile che un utente malintenzionato che ha accesso allo storage ESXi fisico possa leggere e modificare questo file mentre il sistema è offline.
Come viene implementata la configurazione sicura di ESXi
Durante il primo avvio dopo l'installazione o l'aggiornamento dell'host ESXi a vSphere 7.0 Update 2 o versione successiva, si verifica quanto segue:
- Se l'host ESXi dispone di un TPM ed è attivato nel firmware, il file di configurazione archiviato viene crittografato da una chiave di crittografia archiviata nel TPM. Da questo momento in poi, la configurazione dell'host è protetta da TPM.
- Se l'host ESXi non dispone di TPM, ESXi utilizza una funzione di derivazione della chiave (KDF) per generare una chiave di crittografia della configurazione sicura per il file di configurazione archiviato. Gli input per KDF vengono archiviati su disco nel file encryption.info.
Quando l'host ESXi viene riavviato dopo il primo avvio, si verifica quanto segue:
- Se l'host ESXi dispone di un TPM, l'host deve ottenere la chiave di crittografia da TPM per tale host specifico. Se le misure di TPM soddisfano il criterio di protezione utilizzato durante la creazione della chiave di crittografia, l'host ottiene la chiave di crittografia da TPM.
- Se l'host ESXi non dispone di un TPM, ESXi legge le informazioni dal file encryption.info per sbloccare la configurazione sicura.
Requisiti della configurazione sicura di ESXi
- ESXi 7.0 Update 2 o successivi
- TPM 2.0 per la crittografia della configurazione e possibilità di utilizzare un criterio di protezione
Chiave di ripristino della configurazione sicura di ESXi
Una configurazione sicura di ESXi include una chiave di ripristino. Se è necessario ripristinare la configurazione sicura di ESXi, utilizzare una chiave di ripristino il cui contenuto viene immesso come opzione di avvio della riga di comando. È possibile elencare la chiave di ripristino per creare un backup della chiave di ripristino. È inoltre possibile ruotare la chiave di ripristino nell'ambito dei propri requisiti di sicurezza.
L'esecuzione di un backup della chiave di ripristino costituisce una parte importante della gestione della configurazione sicura di ESXi. vCenter Server genera un allarme per ricordare di eseguire il backup della chiave di ripristino.
Allarme della chiave di ripristino della configurazione sicura di ESXi
L'esecuzione di un backup della chiave di ripristino costituisce una parte importante della gestione della configurazione sicura di ESXi. Ogni volta che un host ESXi in modalità TPM viene connesso o riconnesso a vCenter Server, vCenter Server genera un allarme per ricordare di eseguire il backup della chiave di ripristino. Quando si reimposta l'allarme, non viene attivato di nuovo a meno che le condizioni non cambino.
Procedure consigliate per la configurazione sicura di ESXi
Seguire queste procedure consigliate per la chiave di ripristino sicuro di ESXi:
- Quando viene elencata una chiave di ripristino, viene temporaneamente visualizzata in un ambiente non attendibile e si trova nella memoria. Rimuovere le tracce della chiave.
- Il riavvio dell'host comporta la rimozione della chiave residua nella memoria.
- Per una protezione avanzata, è possibile attivare la modalità di crittografia nell'host. Vedere Attivazione esplicita della modalità di crittografia host.
- Quando si esegue un ripristino:
- Per eliminare eventuali tracce della chiave di ripristino in un ambiente non attendibile, riavviare l'host.
- Per una maggiore sicurezza, ruotare la chiave di ripristino in modo da utilizzare una nuova chiave dopo aver ripristinato la chiave una volta.
Che cosa sono i criteri di protezione TPM
Un TPM può utilizzare le misure Platform Configuration Register (PCR) per implementare criteri che limitano l'accesso non autorizzato ai dati sensibili. Quando si installa o si aggiorna un host ESXi con un TPM a vSphere 7.0 Update 2 e successive, il TPM acquisisce informazioni sensibili utilizzando un criterio che incorpora l'impostazione di avvio sicuro. Questo criterio verifica che se l'avvio sicuro è stato attivato quando i dati vengono identificati per la prima volta con il TPM, l'avvio sicuro deve essere comunque attivato quando si tenta di annullare i dati all'avvio successivo.
L'avvio sicuro fa parte dello standard di firmware UEFI. Se l'avvio protetto UEFI è attivato, un host rifiuta di caricare qualsiasi driver o app UEFI a meno che il bootloader del sistema operativo non abbia una firma digitale valida.
È possibile scegliere di disattivare o attivare l'applicazione dell'avvio protetto UEFI. Vedere Attivazione o disattivazione dell'imposizione di avvio sicuro per una configurazione di ESXi sicura.
esxcli system settings encryption set --mode=TPMUna volta attivato il TPM, l'impostazione non può essere annullata.
esxcli system settings encryption set
non riesce in alcuni TPM anche quando il TPM è attivato per l'host.
- In vSphere 7.0 Update 2: TPM di NationZ (NTZ), Infineon Technologies (IFX) e alcuni nuovi modelli (come NPCT75x) di Nuvoton Technologies Corporation (NTC)
- In vSphere 7.0 Update 3: TPM da NationZ (NTZ)
Se un'installazione o un aggiornamento di vSphere 7.0 Update 2 o versione successiva non è in grado di utilizzare il TPM durante il primo avvio, l'installazione o l'aggiornamento continua e la modalità predefinita è NONE (ovvero --mode=NONE
). Il comportamento risultante è come se il TPM non fosse attivato.
Il TPM può anche applicare l'impostazione per l'opzione di avvio execInstalledOnly nel criterio di protezione. L'applicazione execInstalledOnly è un'opzione di avvio ESXi avanzata che garantisce che VMkernel esegua solo file binari che sono stati correttamente inclusi in un pacchetto e firmati come parte di un VIB. L'opzione di avvio execInstalledOnly dipende dall'opzione di avvio sicuro. L'applicazione dell'avvio sicuro deve essere attivata prima di poter applicare l'opzione di avvio execInstalledOnly nel criterio di protezione. Vedere Attivazione o disattivazione dell'imposizione execInstalledOnly per una configurazione di ESXi sicura.