ESXi ホストでは Trusted Platform Module (TPM) チップを使用できます。TPM は、ソフトウェアではなくハードウェアに基づく信頼保証を提供することでホストのセキュリティを強化するセキュアな暗号プロセッサです。
TPM は、セキュアな暗号プロセッサに関する業界全体の標準です。TPM チップは、ラップトップ、デスクトップ、サーバなど、現在使用されているほとんどのコンピュータに搭載されています。vSphere 6.7 以降は TPM バージョン 2.0 をサポートします。
TPM 2.0 チップは ESXi ホストの ID を証明します。ホストの証明は、指定時刻におけるホストのソフトウェアの状態を認証して、証明するプロセスのことです。署名されたソフトウェアのみが起動時にロードされるようにする UEFI セキュア ブートは、正常な証明の要件です。システム内で起動されたソフトウェア モジュールの測定値は TPM 2.0 チップに記録され、安全に保存されて、vCenter Server によってリモートに検証されます。
次に、リモート証明プロセスの手順の概要を示します。
- リモート TPM の信頼性を確立して、リモート TPM の証明キー (AK) を作成します。
vCenter Server で ESXi ホストの追加、再起動、再接続が実行されると、vCenter Server はホストに対して認証キー (AK) を要求します。AK 作成プロセスでは TPM ハードウェア自体の検証も行われ、既知の(信頼できる)ベンダーがハードウェアを製造したことを確認できます。
- ホストから、証明レポートを取得します。
vCenter Server を使用するには、TPM によって署名された Platform Configuration Register (PCR) の引用、およびその他のホストの署名付きバイナリ メタデータを含む証明レポートをホストから送信する必要があります。vCenter Server は信頼できると見なされている構成に情報が対応していることを確認することで、以前は信頼されていなかったホストのプラットフォームを識別します。
- ホストの信頼性を確認します。
vCenter Server は署名付き引用の信頼性を検証し、ソフトウェアのバージョンを推測し、上記ソフトウェア バージョンの信頼性を判断します。vCenter Server によって署名付き引用が無効であると判断された場合は、リモート証明に失敗し、ホストは信頼されません。
TPM 2.0 チップを使用するには、vCenter Server 環境が次に示す要件を満たす必要があります。
- vCenter Server 6.7 以降
- TPM 2.0 チップを搭載していて、UEFI で有効になっている ESXi 6.7 以降のホスト
- 有効な UEFI セキュア ブート
ESXi ホストの BIOS で、TPM が SHA 256 ハッシュ アルゴリズムおよび TIS/FIFO (First-In, First-Out) インターフェイスを使用し、CRB (Command Response Buffer) は使用しないように構成されていることを確認します。これらの必要な BIOS オプションの設定方法については、ベンダーのドキュメントを参照してください。
次の場所で、VMware 認定の TPM 2.0 チップを確認します。
https://www.vmware.com/resources/compatibility/search.php
TPM 2.0 チップが搭載された ESXi ホストを起動するときに、vCenter Server はホストの証明ステータスを監視します。vSphere Client の vCenter Server の [サマリ] タブの [セキュリティ] に、ハードウェアの信頼ステータスが次のアラームと共に表示されます。
- 緑:完全に信頼されていることを示す通常のステータスです。
- 赤:証明に失敗しました。
