보안 ESXi 구성 관리

보안 ESXi 구성 복구 키의 컨텐츠 나열

ESXCLI를 사용하여 보안 ESXi 구성 복구 키의 컨텐츠를 표시할 수 있습니다.

이 작업은 TPM이 있는 ESXi 호스트에만 적용됩니다. 일반적으로 백업을 생성하기 위해 또는 복구 키 순환의 일환으로 보안 ESXi 구성 복구 키의 컨텐츠를 나열합니다.

사전 요구 사항

ESXCLI 명령 집합에 대한 액세스 권한. ESXCLI 명령을 원격으로 실행하거나 ESXi 셸에서 실행할 수 있습니다.
ESXCLI 독립형 버전 또는 PowerCLI를 사용하는 데 필요한 권한: 호스트.구성.설정

프로시저

ESXi 호스트에서 다음 명령을 실행합니다.
```
esxcli system settings encryption recovery list
```
보안 구성을 복구해야 하는 경우를 대비하여 출력을 안전한 원격 위치에 백업으로 저장합니다.

결과

복구 키 ID 및 키가 표시됩니다.

예: 보안 ESXi 구성 복구 키 나열

[root@host1] esxcli system settings encryption recovery list

Recovery ID                             Key
--------------------------------------  ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC}  478269-039194-473926-430939-686855-231401-642208-184477-602511
-225586-551660-586542-338394-092578-687140-267425

보안 ESXi 구성 복구 키 순환

ESXCLI를 사용하여 보안 ESXi 구성 복구 키를 순환할 수 있습니다.

이 작업은 TPM이 있는 ESXi 호스트에만 적용됩니다. 보안 모범 사례의 일부로 ESXi 보안 구성 복구 키를 순환할 수 있습니다.

사전 요구 사항

ESXCLI 명령 집합에 대한 액세스 권한. ESXCLI 명령을 원격으로 실행하거나 ESXi 셸에서 실행할 수 있습니다.
ESXCLI 독립형 버전 또는 PowerCLI를 사용하는 데 필요한 권한: 호스트.구성.설정

프로시저

복구 키를 나열합니다.
보안 ESXi 구성 복구 키의 컨텐츠 나열의 내용을 참조하십시오.
다음 명령을 실행합니다.
```
esxcli system settings encryption recovery rotate [-k keyID] -u uuid
```
이 명령에서 선택적 keyID는 VMkernel 키 캐시의 키 ID이고 uuid는 복구 ID(esxcli system settings encryption recovery list 명령으로 가져옴)입니다. 선택적 키 ID를 제공하지 않으면 ESXi는 이전 복구 키를 임의로 생성된 새 복구 키로 바꿉니다.

결과

이제 복구 키는 제공되는 경우 키 ID로 참조되는 키의 컨텐츠로 설정됩니다. 그렇지 않으면 ESXi가 새 키 ID를 제공합니다.

보안 ESXi 구성 문제 해결 및 복구

보안 ESXi 구성에서 발생할 수 있는 부팅 문제를 해결하고 복구할 수 있습니다.

TPM을 지우거나(즉, TPM의 시드 값 재설정), TPM이 실패하는 경우 또는 마더보드나 TPM 디바이스 또는 둘 다 교체하는 경우 ESXi 보안 구성을 복구하는 단계를 수행해야 합니다. 구성을 복구하려면 복구 키가 있어야 합니다. 구성을 복구할 때까지 ESXi 호스트를 부팅할 수 없습니다. 보안 ESXi 구성 복구의 내용을 참조하십시오.

드문 경우지만 ESXi 호스트가 보안 구성을 복원하거나 암호 해독하지 못해 호스트가 부팅되지 않을 수 있습니다. 가능한 상황은 다음과 같습니다.

보안 부팅 설정(또는 기타 정책)으로 변경
실제 변조
복구 키를 사용할 수 없음

이러한 상황을 해결하려면 https://kb.vmware.com/s/article/81446에서 VMware 기술 자료 문서를 참조하십시오.

보안 ESXi 구성 복구

TPM이 실패하거나 TPM을 지우는 경우 보안 ESXi 구성을 복구해야 합니다. 구성을 복구할 때까지 ESXi 호스트를 부팅할 수 없습니다.

보안 ESXi 구성 복구는 다음과 같은 상황을 참조합니다.

TPM을 지웠습니다(즉 TPM의 시드가 재설정됨).
TPM이 실패했습니다.
마더보드나 TPM 디바이스 또는 둘 다 교체했습니다.

다른 보안 ESXi 구성 문제를 해결하려면 https://kb.vmware.com/s/article/81446에서 VMware 기술 자료 문서를 참조하십시오.

수동으로 복구를 수행합니다. 설치 또는 업그레이드 스크립트의 일부로 복구를 수행하지 마십시오.

사전 요구 사항

복구 키를 가져옵니다. 이전에 복구 키를 나열하고 저장했을 것입니다. 보안 ESXi 구성 복구 키의 컨텐츠 나열의 내용을 참조하십시오.

프로시저

(선택 사항) TPM이 실패하면 디스크(부트 뱅크가 있는 디스크)를 TPM이 있는 다른 호스트로 이동합니다.
ESXi 호스트를 시작합니다.
ESXi 설치 관리자 창이 나타나면 Shift+O를 눌러 부팅 옵션을 편집합니다.
구성을 복구하려면 명령 프롬프트에서 다음 부팅 옵션을 기존 부팅 옵션에 추가합니다.
```
encryptionRecoveryKey=recovery_key
```
보안 ESXi 구성이 복구되고 ESXi 호스트가 부팅됩니다.
변경 내용을 유지하려면 다음 명령을 입력합니다.
```
/sbin/auto-backup.sh
```

다음에 수행할 작업

복구 키를 입력하면 복구 키가 일시적으로 신뢰할 수 없는 환경에 표시되고 메모리에 위치합니다. 꼭 필요한 것은 아니지만 호스트를 재부팅하여 메모리에 남아 있는 키의 흔적을 제거하는 것이 가장 좋습니다. 또는 키를 순환할 수 있습니다. 보안 ESXi 구성 복구 키 순환의 내용을 참조하십시오.

보안 ESXi 구성에 대한 보안 부팅 적용 활성화 또는 비활성화

UEFI 보안 부팅 적용을 활성화하거나 이전에 활성화된 UEFI 보안 부팅 적용을 비활성화하도록 선택할 수 있습니다. ESXi 호스트에서 TPM의 설정을 변경하려면 ESXCLI를 사용해야 합니다.

이 작업은 TPM이 있는 ESXi 호스트에만 적용됩니다. UEFI 보안 부팅은 펌웨어에서 시작된 소프트웨어를 신뢰할 수 있도록 하는 펌웨어 설정입니다. 자세한 내용은 ESXi 호스트를 위한 UEFI 보안 부팅 항목을 참조하십시오. TPM을 사용하여 부팅할 때마다 UEFI 보안 부팅의 사용 설정을 적용할 수 있습니다.

사전 요구 사항

ESXCLI 명령 집합에 대한 액세스 권한. ESXCLI 명령을 원격으로 실행하거나 ESXi 셸에서 실행할 수 있습니다.
ESXCLI 독립형 버전 또는 PowerCLI를 사용하는 데 필요한 권한: 호스트.구성.설정

프로시저

ESXi 호스트의 현재 설정을 나열합니다.
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
보안 부팅 적용을 활성화하면 [보안 부팅 필요]가 true로 표시됩니다. 보안 부팅 적용을 비활성화하면 [보안 부팅 필요]가 false로 표시됩니다.
모드가 [없음]으로 표시되면 호스트의 펌웨어에서 TPM을 활성화하고 다음 명령을 실행하여 모드를 설정해야 합니다.
```
esxcli system settings encryption set --mode=TPM
```

보안 부팅 적용을 활성화하거나 비활성화합니다.

옵션	설명
활성화	호스트를 정상적으로 종료합니다. 예를 들어 vSphere Client에서 ESXi 호스트를 마우스 오른쪽 버튼으로 클릭하고 전원 > 종료를 선택합니다. 호스트의 펌웨어에서 보안 부팅을 활성화합니다. 자세한 벤더 하드웨어 설명서를 참조하십시오. 호스트를 다시 시작합니다. 다음 ESXCLI 명령을 실행합니다. esxcli system settings encryption set --require-secure-boot=T 변경 내용을 확인합니다. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true [보안 부팅 필요]가 true로 표시되는지 확인합니다. 설정을 저장하려면 다음 명령을 실행합니다. /bin/backup.sh 0
비활성화	다음 ESXCLI 명령을 실행합니다. esxcli system settings encryption set --require-secure-boot=F 변경 내용을 확인합니다. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: false [보안 부팅 필요]가 false로 표시되는지 확인합니다. 설정을 저장하려면 다음 명령을 실행합니다. /bin/backup.sh 0 호스트의 펌웨어에서 보안 부팅을 비활성화할 수 있지만 이때, 펌웨어 설정과 TPM 적용 간의 종속성은 더 이상 설정되지 않습니다.

옵션

설명

활성화

호스트를 정상적으로 종료합니다.
예를 들어 vSphere Client에서 ESXi 호스트를 마우스 오른쪽 버튼으로 클릭하고 전원 > 종료를 선택합니다.
호스트의 펌웨어에서 보안 부팅을 활성화합니다.
자세한 벤더 하드웨어 설명서를 참조하십시오.
호스트를 다시 시작합니다.

다음 ESXCLI 명령을 실행합니다.

esxcli system settings encryption set --require-secure-boot=T

변경 내용을 확인합니다.

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

[보안 부팅 필요]가 true로 표시되는지 확인합니다.

설정을 저장하려면 다음 명령을 실행합니다.
```
/bin/backup.sh 0
```

비활성화

다음 ESXCLI 명령을 실행합니다.

esxcli system settings encryption set --require-secure-boot=F

변경 내용을 확인합니다.

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: false

[보안 부팅 필요]가 false로 표시되는지 확인합니다.

설정을 저장하려면 다음 명령을 실행합니다.
```
/bin/backup.sh 0
```
호스트의 펌웨어에서 보안 부팅을 비활성화할 수 있지만 이때, 펌웨어 설정과 TPM 적용 간의 종속성은 더 이상 설정되지 않습니다.

결과

선택 항목에 따라 ESXi 호스트가 보안 부팅 적용이 활성화되거나 비활성화된 상태에서 실행됩니다.

참고:

vSphere 7.0 업데이트 2 이상으로 업그레이드하거나 설치할 때 TPM을 활성화하지 않으면 나중에 다음 명령을 사용하여 활성화할 수 있습니다.

esxcli system settings encryption set --mode=TPM

TPM을 활성화한 후에는 설정을 실행 취소할 수 없습니다.

호스트에 대해 TPM을 활성화한 경우에도 일부 TPM에서 esxcli system settings encryption set 명령이 실패합니다.

vSphere 7.0 업데이트 2: NTZ(NationZ), IFX(Infineon Technologies)의 TPM 및 NTC(Nuvoton Technologies Corporation)의 특정 새 모델(예: NPCT75x)
vSphere 7.0 업데이트 3: NTZ(NationZ)의 TPM

vSphere 7.0 업데이트 2 이상의 설치 또는 업그레이드 시 처음 부팅하는 동안 TPM을 사용할 수 없으면 설치 또는 업그레이드가 계속되고 모드의 기본값은 NONE으로 설정됩니다(즉, --mode=NONE). 결과 동작은 TPM이 활성화되지 않은 것과 같습니다.

보안 ESXi 구성에 대한 execInstalledOnly 적용 활성화 또는 비활성화

execInstalledOnly 적용을 활성화하거나 이전에 활성화된 execInstalledOnly 적용을 비활성화하도록 선택할 수 있습니다. ESXi 호스트에서 TPM의 설정을 변경하려면 ESXCLI를 사용해야 합니다. execInstalledOnly 적용을 활성화하려면 먼저 UEFI 보안 부팅 적용을 활성화해야 합니다.

이 작업은 TPM이 있는 ESXi 호스트에만 적용됩니다. execInstalledOnly 고급 ESXi 부팅 옵션이 TRUE로 설정되어 있는 경우 VMkernel은 VIB의 일부로 패키지되고 서명된 이진만 실행하도록 보장합니다. TPM을 사용하여 부팅할 때마다 이 부팅 옵션의 사용 설정을 적용할 수 있습니다.

사전 요구 사항

execInstalledOnly 적용을 활성화하려면 먼저 UEFI 보안 부팅 적용을 활성화해야 합니다. execInstalledOnly 적용은 UEFI 보안 부팅 적용을 기반으로 구축됩니다. 보안 ESXi 구성에 대한 보안 부팅 적용 활성화 또는 비활성화의 내용을 참조하십시오.
ESXCLI 명령 집합에 대한 액세스 권한. ESXCLI 명령을 원격으로 실행하거나 ESXi 셸에서 실행할 수 있습니다.
ESXCLI 독립형 버전 또는 PowerCLI를 사용하는 데 필요한 권한: 호스트.구성.설정

프로시저

ESXi 호스트의 현재 설정을 나열합니다.
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
execInstalledOnly 적용이 활성화되면 [설치된 VIB에서 실행 파일만 필요]가 true로 표시됩니다. execInstalledOnly 적용이 비활성화되면 [설치된 VIB에서 실행 파일만 필요]가 false로 표시됩니다. execInstalledOnly 적용을 활성화하려면 보안 부팅 적용을 활성화해야 하며, 이 경우 [보안 부팅 필요]가 true로 표시됩니다.
모드가 [없음]으로 표시되면 호스트의 펌웨어에서 TPM을 사용하도록 설정하고 다음 명령을 실행하여 모드를 설정해야 합니다.
```
esxcli system settings encryption set --mode=TPM
```
또한 [보안 부팅 필요]가 False로 표시되면 보안 ESXi 구성에 대한 보안 부팅 적용 활성화 또는 비활성화 항목을 참조하여 적용을 활성화합니다.

execInstalledOnly 적용을 활성화하거나 비활성화합니다.

옵션	설명
활성화	보안 부팅 옵션이 활성화되었는지 확인합니다. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true [보안 부팅 필요]가 true로 표시되는지 확인합니다. 그렇지 않은 경우 보안 ESXi 구성에 대한 보안 부팅 적용 활성화 또는 비활성화의 내용을 참조하십시오. execInstalledOnly 부팅 옵션의 런타임 값을 TRUE로 구성하려면 다음 ESXCLI 명령을 실행합니다. esxcli system settings kernel set -s execInstalledOnly -v TRUE 호스트를 정상적으로 종료합니다. 예를 들어 vSphere Client에서 ESXi 호스트를 마우스 오른쪽 버튼으로 클릭하고 전원 > 종료를 선택합니다. 호스트를 다시 시작합니다. execInstalledOnly 적용을 설정하려면 다음 ESXCLI 명령을 실행합니다. esxcli system settings encryption set --require-exec-installed-only=T 변경 내용을 확인합니다. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: true Require Secure Boot: true [설치된 VIB에서 실행 파일만 필요]가 true로 표시되는지 확인합니다. 설정을 저장하려면 다음 명령을 실행합니다. /bin/backup.sh 0
비활성화	다음 ESXCLI 명령을 실행합니다. esxcli system settings encryption set --require-exec-installed-only=F 변경 내용을 확인합니다. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true [설치된 VIB에서 실행 파일만 필요]가 false로 표시되는지 확인합니다. 설정을 저장하려면 다음 명령을 실행합니다. /bin/backup.sh 0 TPM이 더 이상 execInstalledOnly 부팅 옵션을 적용하지 않습니다.

옵션

설명

활성화

보안 부팅 옵션이 활성화되었는지 확인합니다.
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
[보안 부팅 필요]가 true로 표시되는지 확인합니다. 그렇지 않은 경우 보안 ESXi 구성에 대한 보안 부팅 적용 활성화 또는 비활성화의 내용을 참조하십시오.
execInstalledOnly 부팅 옵션의 런타임 값을 TRUE로 구성하려면 다음 ESXCLI 명령을 실행합니다.
```
esxcli system settings kernel set -s execInstalledOnly -v TRUE
```
호스트를 정상적으로 종료합니다.
예를 들어 vSphere Client에서 ESXi 호스트를 마우스 오른쪽 버튼으로 클릭하고 전원 > 종료를 선택합니다.
호스트를 다시 시작합니다.
execInstalledOnly 적용을 설정하려면 다음 ESXCLI 명령을 실행합니다.
```
esxcli system settings encryption set --require-exec-installed-only=T 
```

변경 내용을 확인합니다.

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: true
   Require Secure Boot: true

[설치된 VIB에서 실행 파일만 필요]가 true로 표시되는지 확인합니다.

설정을 저장하려면 다음 명령을 실행합니다.
```
/bin/backup.sh 0
```

비활성화

다음 ESXCLI 명령을 실행합니다.

esxcli system settings encryption set --require-exec-installed-only=F

변경 내용을 확인합니다.

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

[설치된 VIB에서 실행 파일만 필요]가 false로 표시되는지 확인합니다.

설정을 저장하려면 다음 명령을 실행합니다.
```
/bin/backup.sh 0
```
TPM이 더 이상 execInstalledOnly 부팅 옵션을 적용하지 않습니다.

결과

선택 항목에 따라 ESXi 호스트가 execInstalledOnly 적용이 활성화되거나 비활성화된 상태로 실행됩니다.