ESXi 8.0 以降では、ESXi Entropy の実装で FIPS 140-3 および EAL4 の認証がサポートされます。ESXi ホストで有効にするエントロピー ソースは、カーネル起動オプションで制御します。
コンピューティングにおいて、「エントロピー」という用語は、ネットワーク上を転送されるデータを保護するための暗号化キーの生成など、暗号化で使用するために収集されるランダムな文字およびデータを指します。エントロピーは、セキュリティでキーの生成およびネットワーク経由の通信の保護を行うために必要です。エントロピーは、多くの場合、システム上のさまざまなソースから収集されます。
次の条件に該当する場合は、FIPS エントロピー処理がデフォルトの動作になります。
- ハードウェアが RDSEED をサポートしている。
- disableHwrng VMkernel 起動オプションがないか、FALSE である。
- entropySources VMkernel 起動オプションがないか、0(ゼロ)または 4 である。
ESXi 8.0 Update 1 以降でスクリプトによるインストールを行う場合は、キックスタート ファイル内で外部エントロピー ソースを構成できます。スクリプトによるインストール方法を使用することで、安全性の高い環境において、ハードウェア セキュリティ モジュール (HSM) などの外部エントロピー ソースのエントロピーを使用し、BSI コモン クライテリア、EAL4、NIST FIPS CMVP などの標準に適合するように ESXi を構成することができます。外部エントロピー ソースの構成方法については、『ESXi のインストールとセットアップ』ドキュメントを参照してください。
次の VMkernel 起動オプションを使用して、ESXi Entropy サブシステムを構成できます。
VMkernel 起動オプション | オプション タイプ | 説明 | デフォルト値 |
---|---|---|---|
disableHwrng(vSphere 8.0 より前で使用可能) | Boolean | TRUE に設定されている場合、RDRAND および RDSEED エントロピー ソースが無効になります(「entropySources」をオーバーライドします)。 | FALSE ハードウェアの乱数発生器エントロピー ソースが有効になります。 |
entropySources(vSphere 8.0 以降で使用可能) | 整数、ビットマスク | 有効にするエントロピー ソースを指定します。
ビットマスク値:
|
0(ゼロ) RDSEED がサポートされている場合、デフォルトは FIPS コンプライアンスです。それ以外の場合、デフォルトはすべてのエントロピー ソース(entropyd を除く)です。 |
前提条件
ESXi ホストでの root アクセス権が必要です。
手順
- SSH などのリモート コンソール接続を使用して、ESXi ホストでセッションを開始します。
- root としてログインします。
- 目的のエントロピーの VMkernel 起動オプションを設定します。
- disableHwrng で RDRAND および RDSEED エントロピー ソースを無効にするには、以下を実行します。
esxcli system settings kernel set -s disableHwrng -v TRUE
- entropySources を設定するには、以下を実行します。
esxcli system settings kernel set -s entropySources -v entropy_source_value
entropySources に設定できる値については、上記の表を参照してください。
- disableHwrng で RDRAND および RDSEED エントロピー ソースを無効にするには、以下を実行します。