In ESXi 8.0 e versioni successive, l'implementazione dell'entropia di ESXi supporta le certificazioni FIPS 140-3 ed EAL4. Le opzioni di avvio del kernel controllano le fonti di entropia da attivare in un host ESXi.

In informatica, il termine "entropia" si riferisce a caratteri e dati casuali che vengono raccolti per l'uso nella crittografia, ad esempio la generazione di chiavi di crittografia per proteggere i dati trasmessi in una rete. L'entropia è richiesta dalla sicurezza per generare chiavi e comunicare in modo sicuro nella rete. L'entropia viene spesso raccolta da diverse origini in un sistema.

La gestione dell'entropia FIPS è il comportamento predefinito se si verificano le condizioni seguenti.

  1. L'hardware supporta RDSEED.
  2. L'opzione di avvio disableHwrng di VMkernel non è presente o è FALSE.
  3. L'opzione di avvio entropySources di VMkernel non è presente, è 0 (zero) o è 4.
Avviso: Quando si configura un host ESXi con entropySources solo per l'entropia esterna (ovvero l'opzione entropySources è impostata su 8), è necessario continuare a fornire l'entropia esterna all'host utilizzando l'API di entropia. Se l'entropia viene esaurita nell'host, l'host non risponde. Per risolvere questa situazione, riavviare l'host. Se l'host continua a non rispondere, è necessario reinstallare ESXi.

A partire da ESXi 8.0 Update 1, è possibile configurare origini di entropia esterne nel file kickstart per l'installazione con script. È possibile configurare ESXi in un ambiente con protezione elevata per utilizzare l'entropia da origini di entropia esterne, ad esempio HSM (Hardware Security Module), in conformità con standard come i criteri comuni BSI, EAL4 e NIST FIPS CMVP, tramite il metodo di installazione con script. Per ulteriori informazioni sulla configurazione di origini di entropia esterne, vedere la documentazione Installazione e configurazione di VMware ESXi.

È possibile configurare il sottosistema dell'entropia di ESXi utilizzando le seguenti opzioni di avvio di VMkernel:

Tabella 1. Opzioni di avvio di VMkernel dell'entropia ESXi
Opzione di avvio di VMkernel Tipo di opzione Descrizione Valore predefinito
disableHwrng (disponibile prima di vSphere 8.0) Booleano Disattiva le origini ddell'entropia RDRAND e RDSEED quando è impostata su TRUE (sostituisce "entropySources"). FALSE

Attiva le origini dell'entropia del generatore di numeri casuali dell'hardware, se presenti.
entropySources (disponibile a partire da vSphere 8.0) Numero intero, Bitmask Specifica quali origini dell'entropia attivare.
  • 0 (predefinito)

Valori della maschera di bit:

  • 1=interrupts
  • 2=RDRAND
  • 4=RDSEED
  • 8=entropyd (la gestione dell'entropia di EAL4 è attivata)
Se si specifica entropySources=9, si attivano gli interrupt e le origini dell'entropia dello spazio utente e si disattivano le origini dell'entropia RDRAND e RDSEED.		 0 (zero)

Se RDSEED è supportato, il valore predefinito è Conformità FIPS. In caso contrario, il valore predefinito è tutte le origini dell'entropia ad eccezione di entropyd.
Nota: Prima di apportare una modifica per utilizzare solo RDRAND, RDSEED o entrambe le origini dell'entropia, controllare la documentazione del fornitore per assicurarsi che l'host ESXi supporti tali configurazioni. Se l'host non supporta tali configurazioni, in vCenter Server viene visualizzato un avviso e l'host torna ad utilizzare le origini dell'entropia interrupt e spazio utente.

Prerequisiti

È necessario disporre dell'accesso root nell'host ESXi.

Procedura

  1. Utilizzare SSH o un'altra connessione a una console remota per avviare una sessione sull'host ESXi.
  2. Accedere come root.
  3. Impostare le opzioni di avvio di VMkernel dell'entropia desiderate.
    1. Per disattivare le fonti di entropia RDRAND e RDSEED per disableHwrng: 
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. Per impostare entropySources: 
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      Vedere la tabella precedente per informazioni sui valori che è possibile impostare per entropySources.