ESXi 호스트는 소프트웨어가 아닌 하드웨어에 기반하는 신뢰 보장을 제공하여 호스트 보안을 개선하는 보안 암호화 프로세서인 TPM(신뢰할 수 있는 플랫폼 모듈) 칩을 사용할 수 있습니다.

TPM이란?

TPM은 보안 암호화 프로세서의 업계 표준입니다. 요즘 TPM 칩은 랩톱에서 데스크톱, 서버에 이르는 대부분의 컴퓨터에서 찾아볼 수 있습니다. vSphere 6.7 이상은 TPM 버전 2.0을 지원합니다.

TPM 2.0 칩은 호스트의 ESXi ID를 증명합니다. 호스트 증명은 지정된 시점에 호스트의 소프트웨어 상태를 인증하고 증명하는 프로세스입니다. 부팅 시 서명된 소프트웨어만 로드될 수 있도록 하는 UEFI 보안 부팅이 성공적인 증명의 요구 사항입니다. 시스템에서 부팅되는 소프트웨어 모듈의 측정값이 TPM 2.0 칩에 기록되고 안전하게 저장되며 vCenter Server가 이를 원격으로 확인합니다.

원격 증명 프로세스의 단계를 간략하게 설명하면 다음과 같습니다.

  1. 원격 TPM의 신뢰도를 설정하고 해당 TPM에 AK(증명 키)를 생성합니다.

    ESXi 호스트가 vCenter Server에 추가되거나 재부팅되거나 다시 연결되면 vCenter Server가 호스트의 AK를 요청합니다. AK 생성 프로세스에는 TPM 하드웨어 자체를 확인하여 알려진(신뢰할 수 있는) 벤더가 하드웨어를 생산했는지 여부를 확인하는 작업도 포함됩니다.

  2. 호스트에서 증명 보고서를 검색합니다.

    vCenter Server는 호스트에 증명 보고서를 보내도록 요청합니다. 이 보고서에는 TPM이 서명한 PCR(플랫폼 구성 레지스터)의 인용문과 기타 서명된 호스트 이진 메타데이터가 포함됩니다. vCenter Server는 이 정보가 신뢰할 수 있는 구성에 해당하는지 확인하여 이전에 신뢰되지 않은 호스트의 플랫폼을 식별합니다.

  3. 호스트의 신뢰성을 확인합니다.

    vCenter Server는 서명된 인용문의 신뢰성을 확인하고 소프트웨어 버전을 유추하고 언급된 소프트웨어 버전의 신뢰도를 결정합니다. vCenter Server가 서명된 인용문이 유효하지 않다고 결정하면 원격 증명이 실패하고 호스트가 신뢰되지 않습니다.

TPM을 사용하기 위한 vSphere 요구 사항

TPM 2.0 칩을 사용하려면 vCenter Server 환경이 다음 요구 사항을 충족해야 합니다.

  • vCenter Server 6.7 이상
  • TPM 2.0 칩이 설치되고 UEFI에서 사용되도록 설정된 ESXi 6.7 호스트 이상
  • UEFI 보안 부팅 사용

ESXi 호스트의 BIOS에 TPM이 SHA-256 해싱 알고리즘 및 TIS/FIFO(First-In, First-Out) 인터페이스를 사용하고 CRB(Command Response Buffer)를 사용하지 않도록 구성되어 있는지 확인합니다. 이러한 필수 BIOS 옵션 설정에 대한 자세한 내용은 벤더 설명서를 참조하십시오.

다음 위치에서 VMware가 인증한 TPM 2.0 칩을 검토합니다.

https://www.vmware.com/resources/compatibility/search.php

TPM을 사용하여 호스트를 부팅하면 발생하는 결과

TPM 2.0 칩이 설치된 ESXi 호스트를 부팅하면 vCenter Server가 호스트의 증명 상태를 모니터링합니다. 하드웨어 신뢰 상태를 보려면 vSphere Client에서 vCenter Server를 선택하고 보안 아래의 요약 탭을 선택합니다. 하드웨어 신뢰 상태는 다음 중 하나입니다.

  • 녹색: 정상 상태이며 완전히 신뢰할 수 있음을 나타냅니다.
  • 빨간색: 증명에 실패했습니다.
참고: TPM 2.0 칩을 vCenter Server에서 이미 관리하는 ESXi 호스트에 추가하는 경우 먼저 호스트의 연결을 끊었다가 다시 연결해야 합니다. 호스트 연결 끊기 및 다시 연결에 대한 정보는 " vCenter Server 및 호스트 관리" 설명서를 참조하십시오.

vSphere 7.0 이상에서 VMware® vSphere Trust Authority™는 ESXi 호스트에 대해 원격 증명 기능을 사용합니다. vSphere 신뢰 기관 증명 서비스란?의 내용을 참조하십시오.

ESXi 호스트 증명 상태 보기

TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 호환 칩을 ESXi 호스트에 추가하면 플랫폼의 무결성이 증명됩니다. vSphere Client에서 호스트의 증명 상태를 볼 수 있습니다. Intel TXT(Trusted Execution Technology) 상태도 볼 수 있습니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 연결합니다.
  2. 데이터 센터로 이동하고 모니터 탭을 클릭합니다.
  3. 보안을 클릭합니다.
  4. [무결성] 열에서 호스트의 상태를 검토하고 메시지 열에서 함께 제공된 메시지를 읽습니다.
  5. 이 호스트가 신뢰할 수 있는 호스트인 경우 자세한 내용은 신뢰할 수 있는 클러스터 증명 상태 보기 항목을 참조하십시오.

다음에 수행할 작업

실패 또는 경고 증명 상태에 대한 내용은 ESXi 호스트 무결성 문제 해결 항목을 참조하십시오. 신뢰할 수 있는 호스트의 경우 신뢰할 수 있는 호스트 증명 문제 해결 항목을 참조하십시오.

ESXi 호스트 무결성 문제 해결

ESXi 호스트에 TPM(신뢰할 수 있는 플랫폼 모듈) 디바이스를 설치할 때 호스트가 무결성을 전달하는 데 실패할 수 있습니다. 이 문제의 잠재적 원인을 해결할 수 있습니다.

프로시저

  1. ESXi 호스트 경보 상태 및 관련 오류 메시지를 확인합니다. ESXi 호스트 증명 상태 보기의 내용을 참조하십시오.
  2. 오류 메시지가 호스트 보안 부팅이 사용되지 않도록 설정되었습니다인 경우 문제를 해결하기 위해 보안 부팅을 다시 사용하도록 설정해야 합니다.
  3. 호스트의 증명 상태가 실패한 경우 vCenter Server vpxd.log 파일에서 다음 메시지를 확인합니다.
    No cached identity key, loading from DB
    이 메시지는 vCenter Server에서 이미 관리하고 있는 ESXi 호스트에 TPM 2.0 칩을 추가하고 있음을 나타냅니다. 먼저 호스트의 연결을 끊었다가 다시 연결해야 합니다. 호스트 연결 해제 및 다시 연결에 대한 정보는 " vCenter Server 및 호스트 관리" 설명서를 참조하십시오.
    위치 및 로그 순환을 포함한 vCenter Server 로그 파일에 대한 자세한 내용은 VMware 기술 자료 문서( https://kb.vmware.com/s/article/1021804)를 참조하십시오.
  4. 다른 모든 오류 메시지의 경우 고객 지원에 문의하십시오.