ESXi 호스트는 소프트웨어가 아닌 하드웨어에 기반하는 신뢰 보장을 제공하여 호스트 보안을 개선하는 보안 암호화 프로세서인 TPM(신뢰할 수 있는 플랫폼 모듈) 칩을 사용할 수 있습니다.
TPM은 보안 암호화 프로세서의 업계 표준입니다. 랩톱부터 데스크톱과 서버에 이르는 현재의 컴퓨터 대부분에서 TPM 칩을 찾아볼 수 있습니다. vSphere 6.7 이상은 TPM 버전 2.0을 지원합니다.
TPM 2.0 칩은 ESXi 호스트 ID를 증명합니다. 호스트 증명은 지정된 시점에 호스트 소프트웨어의 상태를 인증하고 증명하는 프로세스입니다. 부팅 시 서명된 소프트웨어만 로드될 수 있도록 하는 UEFI 보안 부팅이 성공적인 증명의 요구 사항입니다. 시스템에서 부팅되는 소프트웨어 모듈의 측정값이 TPM 2.0 칩에 기록되고 안전하게 저장되며 vCenter Server가 이를 원격으로 확인합니다.
원격 증명 프로세스의 단계를 간략하게 설명하면 다음과 같습니다.
- 원격 TPM의 신뢰도를 설정하고 해당 TPM에 AK(증명 키)를 생성합니다.
ESXi 호스트가 vCenter Server에 추가되거나 재부팅되거나 다시 연결되면 vCenter Server가 호스트의 AK를 요청합니다. AK 생성 프로세스에는 TPM 하드웨어 자체를 확인하여 알려진(신뢰할 수 있는) 벤더가 하드웨어를 생산했는지 여부를 확인하는 작업도 포함됩니다.
- 호스트에서 증명 보고서를 검색합니다.
vCenter Server는 호스트에 증명 보고서를 보내도록 요청합니다. 이 보고서에는 TPM이 서명한 PCR(플랫폼 구성 레지스터)의 인용문과 기타 서명된 호스트 이진 메타데이터가 포함됩니다. vCenter Server는 이 정보가 신뢰할 수 있는 구성에 해당하는지 확인하여 이전에 신뢰되지 않은 호스트의 플랫폼을 식별합니다.
- 호스트의 신뢰성을 확인합니다.
vCenter Server는 서명된 인용문의 신뢰성을 확인하고 소프트웨어 버전을 유추하고 언급된 소프트웨어 버전의 신뢰도를 결정합니다. vCenter Server가 서명된 인용문이 유효하지 않다고 결정하면 원격 증명이 실패하고 호스트가 신뢰되지 않습니다.
TPM 2.0 칩을 사용하려면 vCenter Server 환경이 다음 요구 사항을 충족해야 합니다.
- vCenter Server 6.7 이상
- TPM 2.0 칩이 설치되고 UEFI에서 사용되도록 설정된 ESXi 6.7 호스트 이상
- UEFI 보안 부팅 사용
ESXi 호스트의 BIOS에 TPM이 SHA-256 해싱 알고리즘 및 TIS/FIFO(First-In, First-Out) 인터페이스를 사용하고 CRB(Command Response Buffer)를 사용하지 않도록 구성되어 있는지 확인합니다. 이러한 필수 BIOS 옵션 설정에 대한 자세한 내용은 벤더 설명서를 참조하십시오.
다음 위치에서 VMware가 인증한 TPM 2.0 칩을 검토합니다.
https://www.vmware.com/resources/compatibility/search.php
TPM 2.0 칩이 설치된 ESXi 호스트를 부팅하면 vCenter Server가 호스트의 증명 상태를 모니터링합니다. vSphere Client는 vCenter Server의 보안 아래 요약 탭에 다음 경보와 함께 하드웨어의 신뢰 상태를 표시합니다.
- 녹색: 정상 상태이며 완전히 신뢰할 수 있음을 나타냅니다.
- 빨간색: 증명에 실패했습니다.
