vSphere 7.0 Update 2 以降、ESXi の構成は暗号化によって保護されます。
セキュアな ESXi 構成について
ESXi は、構成ファイルにシークレットを格納します。これらの構成は、アーカイブ ファイルとして ESXi ホストのブートバンクに保持されます。vSphere 7.0 Update 2 以前では、アーカイブされた ESXi 構成ファイルは暗号化されません。vSphere 7.0 Update 2 以降 では、アーカイブされた構成ファイルが暗号化されます。その結果、たとえ ESXi ホストのストレージに物理的にアクセスできたとしても、攻撃者はこのファイルを直接読み取ったり、変更したりすることはできません。
攻撃者によるシークレットへのアクセスを防ぐことができるだけでなく、TPM と併用することで、セキュアな ESXi 構成により、再起動時にも仮想マシンの暗号化キーを保存することができます。ESXi ホストが TPM で構成されている場合、TPM は構成をホストに「シーリング」するために使用され、強力なセキュリティ保証を提供します。その結果、暗号化されたワークロードは、キー サーバが使用できない場合やアクセスできない場合に引き続き機能する可能性があります。ESXi ホストでの vSphere キーの永続性を参照してください。
ESXi 構成の暗号化を手動で有効にする必要はありません。vSphere 7.0 Update 2 以降をインストールまたはアップグレードすると、アーカイブされた ESXi 構成が暗号化されます。
安全な ESXi 構成に関連付けられたタスクについては、セキュアな ESXi 構成の管理を参照してください。
vSphere 7.0 Update2 以前の ESXi 構成ファイル
ESXi ホストの構成は、ホストで実行される各サービスの構成ファイルで構成されます。構成ファイルは通常、/etc/ ディレクトリに存在しますが、他のネームスペースにも存在できます。構成ファイルには、サービスの状態に関する実行時情報が含まれています。時間の経過とともに、構成ファイルのデフォルト値が変更される可能性があります。たとえば、ESXi ホストの設定を変更した場合などです。cron ジョブは、ESXi 構成ファイルを定期的に、または ESXi が正常に、またはオンデマンドでシャットダウンしたときにバックアップし、ブート バンクにアーカイブ構成ファイルを作成します。ESXi が再起動すると、アーカイブされた構成ファイルが読み取られ、バックアップが作成されたときの ESXi の状態が再作成されます。vSphere 7.0 Update 2 以前では、アーカイブされた構成ファイルは暗号化されていません。その結果、物理的な ESXi ストレージにアクセスできる攻撃者が、システムがオフラインのときにこのファイルを読み取って変更する可能性があります。
セキュアな ESXi 構成の実装方法
ESXi ホストを vSphere 7.0 Update 2 以降にインストールまたはアップグレードした後の最初の起動時に、次のことが発生します。
- ESXi ホストに TPM があり、ファームウェアで有効になっている場合、アーカイブされた構成ファイルは、TPM に格納されている暗号化キーによって暗号化されます。この時点から、ホストの構成は TPM によってシーリングされます。
- ESXi ホストに TPM がない場合、ESXi は鍵導出関数 (KDF) を使用して、アーカイブされた構成ファイルのセキュアな構成暗号化鍵を生成します。KDF への入力は、ディスク内の encryption.info ファイルに保存されます。
最初の起動後に ESXi ホストが再起動すると、次のことが発生します。
- ホストに ESXi TPM がある場合、ホストは、その特定のホストの TPM から暗号化キーを取得する必要があります。TPM 測定値が暗号化キーの作成時に使用されたシーリング ポリシーを満たす場合、ホストは TPM から暗号化キーを取得します。
- ESXi ホストに TPM がない場合、ESXi は encryption.info ファイルから情報を読み取り、セキュなな構成のロックを解除します。
セキュアな ESXi 構成の要件
- ESXi 7.0 Update 2 以降
- 構成の暗号化とシーリング ポリシーを使用する機能のための TPM 2.0
セキュアな ESXi 構成のリカバリ キー
セキュアな ESXi にはリカバリ キーが含まれています。セキュアな ESXi 構成をリカバリする必要がある場合は、コマンドライン ブート オプションとして入力した内容のリカバリ キーを使用します。リカバリ キーを一覧表示して、リカバリ キーのバックアップを作成できます。セキュリティ要件の一部としてリカバリ キーをローテーションできます。
リカバリーキーのバックアップを取ることは、セキュアな ESXi 構成を管理する上で重要な部分です。vCenter Server は、リカバリ キーのバックアップを通知するアラームを生成します。
セキュアな ESXi 構成のリカバリ キー アラーム
リカバリーキーのバックアップを取ることは、セキュアな ESXi 構成を管理する上で重要な部分です。TPM モードの ESXi ホストが vCenter Server に接続または再接続されるたびに、vCenter Server はアラームを生成して、リカバリ キーをバックアップするように通知します。アラームをリセットすると、条件が変更されない限り、アラームは再び発生されません。
セキュアな ESXi 構成のベストプラクティス
セキュアな ESXi リカバリ キーに関する以下のベスト プラクティスに従ってください。
- リカバリ キーを一覧表示すると、そのリカバリ キーは一時的に信頼されていない環境に表示され、メモリ内に保存されます。キーのトレースを削除します。
- ホストを再起動すると、メモリに残ったキーが削除されます。
- 保護を強化するには、ホストで暗号化モードを有効にします。ホスト暗号化モードの明示的な有効化を参照してください。
- リカバリを実行する場合:
- 信頼されていない環境でリカバリ キーのトレースを排除するには、ホストを再起動します。
- セキュリティを強化するために、キーを 1 回リカバリした後に、リカバリ キーをローテーションして新しいキーを使用します。
TPM シーリング ポリシーについて
TPM は、プラットフォーム構成レジスタ (PCR) 測定値を使用して、機密データへの不正アクセスを制限するポリシーを実装できます。TPM を使用する ESXi ホストを vSphere 7.0 Update 2 以降にインストールまたはアップグレードする場合、TPM はセキュア ブート設定を組み込んだポリシーを使用して機密情報をシールします。このポリシーは、データが TPM で最初にシーリングされた際にセキュア ブートが有効になっていた場合、後続のブートでデータをシーリング解除するときにセキュアブートを有効にする必要があることを確認します。
セキュア ブートは、UEFI ファームウェア標準の一部です。UEFI セキュア ブートが有効な場合、オペレーティング システムのブートローダーに有効なデジタル署名がない限り、ホストに UEFI ドライバまたはアプリケーションはロードされません。
UEFI セキュア ブートの強制適用を無効または有効にできます。セキュアな ESXi 構成のセキュア ブートの適用の有効化または無効化を参照してください。
esxcli system settings encryption set --mode=TPMTPM を有効化すると、設定を取り消すことはできません。
esxcli system settings encryption set
コマンドが失敗します。
- vSphere 7.0 Update 2 の場合:NationZ (NTZ)、Infineon Technologies (IFX)、および Nuvoton Technologies Corporation (NTC) の特定の新しいモデル(NPCT75x など)からの TPM
- vSphere 7.0 Update 3 の場合:NationZ (NTZ) からの TPM
vSphere 7.0 Update 2 以降の最初の起動中に TPM を使用できない場合、このインストールまたはアップグレードは続行され、モードはデフォルトで「なし」(--mode=NONE
) になります。その結果、TPM がアクティブ化されていない場合と同様に動作します。
TPM は、シーリング ポリシーの execInstalledOnly 起動オプションの設定を適用することもできます。execInstalledOnly の強制適用は、VMkernel が VIB の一部として適切にパッケージ化され署名されたバイナリのみを実行する高度な ESXi 起動オプションです。execInstalledOnly 起動オプションは、セキュア ブート オプションに依存します。シーリング ポリシーで execInstalledOnly 起動オプションを強制適用する前に、セキュア ブートの強制適用を有効にする必要があります。セキュアな ESXi 構成の execInstalledOnly の適用の有効化/無効化を参照してください。