vSphere 7.0 Update 2 より前の ESXi 構成ファイルの概要

ESXi ホストの構成は、ホストで実行される各サービスの構成ファイルで構成されます。構成ファイルは通常、/etc/ ディレクトリに存在しますが、他のネームスペースにも存在できます。構成ファイルには、サービスの状態に関する実行時情報が含まれています。時間の経過とともに、構成ファイルのデフォルト値が変更される可能性があります。たとえば、ESXi ホストの設定を変更した場合などです。cron ジョブは、ESXi 構成ファイルを定期的に、または ESXi が正常に、またはオンデマンドでシャットダウンしたときにバックアップし、ブート バンクにアーカイブ構成ファイルを作成します。ESXi が再起動すると、アーカイブされた構成ファイルが読み取られ、バックアップが作成されたときの ESXi の状態が再作成されます。vSphere 7.0 Update 2 以前では、アーカイブされた構成ファイルは暗号化されていません。その結果、物理的な ESXi ストレージにアクセスできる攻撃者が、システムがオフラインのときにこのファイルを読み取って変更する可能性があります。

セキュアな ESXi 構成の概要

ESXi ホストを vSphere 7.0 Update 2 以降にインストールまたはアップグレードした後の最初の起動時に、次のことが発生します。

• ESXi ホストに TPM があり、ファームウェアで有効になっている場合、アーカイブされた構成ファイルは、TPM に格納されている暗号化キーによって暗号化されます。この時点から、ホストの構成は TPM によってシーリングされます。
• ESXi ホストに TPM がない場合、ESXi は鍵導出関数 (KDF) を使用して、アーカイブされた構成ファイルのセキュアな構成暗号化鍵を生成します。KDF への入力は、ディスク内の encryption.info ファイルに保存されます。

最初の起動後に ESXi ホストが再起動すると、次のことが発生します。

• ホストに ESXi TPM がある場合、ホストは、その特定のホストの TPM から暗号化キーを取得する必要があります。TPM 測定値が暗号化キーの作成時に使用されたシーリング ポリシーを満たす場合、ホストは TPM から暗号化キーを取得します。
• ESXi ホストに TPM がない場合、ESXi は encryption.info ファイルから情報を読み取り、セキュなな構成のロックを解除します。

セキュアな ESXi 構成の要件

• ESXi 7.0 Update 2 以降
• 構成の暗号化とシーリング ポリシーを使用する機能のための TPM 2.0

セキュアな ESXi 構成のリカバリ キー

セキュアな ESXi にはリカバリ キーが含まれています。セキュアな ESXi 構成をリカバリする必要がある場合は、コマンドライン ブート オプションとして入力した内容のリカバリ キーを使用します。リカバリ キーを一覧表示して、リカバリ キーのバックアップを作成できます。セキュリティ要件の一部としてリカバリ キーをローテーションできます。

リカバリーキーのバックアップを取ることは、セキュアな ESXi 構成を管理する上で重要な部分です。vCenter Server は、リカバリ キーのバックアップを通知するアラームを生成します。

リカバリ キー アラーム

リカバリーキーのバックアップを取ることは、セキュアな ESXi 構成を管理する上で重要な部分です。TPM モードの ESXi ホストが vCenter Server に接続または再接続されるたびに、vCenter Server はアラームを生成して、リカバリ キーをバックアップするように通知します。アラームをリセットすると、条件が変更されない限り、アラームは再び発生されません。

セキュアな ESXi 構成のベストプラクティス

リカバリ キーに関する以下のベスト プラクティスに従ってください。

• リカバリ キーを一覧表示すると、そのリカバリ キーは一時的に信頼されていない環境に表示され、メモリ内に保存されます。キーのトレースを削除します。
  • ホストを再起動すると、メモリに残ったキーが削除されます。
  • 保護を強化するには、ホストで暗号化モードを有効にします。ホスト暗号化モードを明示的に有効にするを参照してください。
• リカバリを実行する場合：
  • 信頼されていない環境でリカバリ キーのトレースを排除するには、ホストを再起動します。
  • セキュリティを強化するために、キーを 1 回リカバリした後に、リカバリ キーをローテーションして新しいキーを使用します。