ESXi 8.0 以降では、ESXi Entropy の実装で FIPS 140-3 および EAL4 の認証がサポートされます。ESXi ホストで有効にするエントロピー ソースは、カーネル起動オプションで制御します。

コンピューティングにおいて、「エントロピー」という用語は、ネットワーク上を転送されるデータを保護するための暗号化キーの生成など、暗号化で使用するために収集されるランダムな文字およびデータを指します。エントロピーは、セキュリティでキーの生成およびネットワーク経由の通信の保護を行うために必要です。エントロピーは、多くの場合、システム上のさまざまなソースから収集されます。

次の条件に該当する場合は、FIPS エントロピー処理がデフォルトの動作になります。

  1. ハードウェアが RDSEED をサポートしている。
  2. disableHwrng VMkernel 起動オプションがないか、FALSE である。
  3. entropySources VMkernel 起動オプションがないか、0(ゼロ)または 4 である。
注意: 外部エントロピーの entropySources のみを使用して ESXi ホストを構成する場合(entropySources が 8 に設定されている場合)は、エントロピー API を使用して外部エントロピーをホストに提供し続ける必要があります。ホストで外部エントロピーが枯渇すると、ホストが応答しなくなります。この状況から回復するには、ホストを再起動します。ホストが引き続き応答しない場合は、 ESXi を再インストールする必要があります。

ESXi 8.0 Update 1 以降でスクリプトによるインストールを行う場合は、キックスタート ファイル内で外部エントロピー ソースを構成できます。スクリプトによるインストール方法を使用することで、安全性の高い環境において、ハードウェア セキュリティ モジュール (HSM) などの外部エントロピー ソースのエントロピーを使用し、BSI コモン クライテリア、EAL4、NIST FIPS CMVP などの標準に適合するように ESXi を構成することができます。外部エントロピー ソースの構成方法については、『ESXi のインストールとセットアップ』ドキュメントを参照してください。

次の VMkernel 起動オプションを使用して、ESXi Entropy サブシステムを構成できます。

表 1. ESXi Entropy VMkernel 起動オプション
VMkernel 起動オプション オプション タイプ 説明 デフォルト値
disableHwrng(vSphere 8.0 より前で使用可能) Boolean TRUE に設定されている場合、RDRAND および RDSEED エントロピー ソースが無効になります(「entropySources」をオーバーライドします)。 FALSE

ハードウェアの乱数発生器エントロピー ソースが有効になります。
entropySources(vSphere 8.0 以降で使用可能) 整数、ビットマスク 有効にするエントロピー ソースを指定します。
  • 0(デフォルト)

ビットマスク値:

  • 1 = interrupts
  • 2 = RDRAND
  • 4 = RDSEED
  • 8 = entropyd(EAL4 エントロピー処理が有効)
entropySources = 9 と指定すると、interrupts および userspace エントロピー ソースが有効になり、RDRAND および RDSEED エントロピー ソースは無効になります。		 0(ゼロ)

RDSEED がサポートされている場合、デフォルトは FIPS コンプライアンスです。それ以外の場合、デフォルトはすべてのエントロピー ソース(entropyd を除く)です。
注: RDRAND と RDSEED のいずれか、または両方のエントロピー ソースのみを使用するように変更するには、ベンダーのドキュメントを参照して、 ESXi ホストでこれらの構成がサポートされていることを確認します。ホストでこれらの構成がサポートされていない場合、 vCenter Server からアラートで通知され、ホストは interrupt および userspace エントロピー ソースを使用するようにフォールバックされます。

前提条件

ESXi ホストでの root アクセス権が必要です。

手順

  1. SSH などのリモート コンソール接続を使用して、ESXi ホストでセッションを開始します。
  2. root としてログインします。
  3. 目的のエントロピーの VMkernel 起動オプションを設定します。
    1. disableHwrng で RDRAND および RDSEED エントロピー ソースを無効にするには、以下を実行します。 
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. entropySources を設定するには、以下を実行します。 
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      entropySources に設定できる値については、上記の表を参照してください。