vSphere 7.0 업데이트 2 이상에서는 ESXi 구성이 암호화로 보호됩니다.
보안 ESXi 구성이란?
수많은 ESXi 서비스가 구성 파일에 암호를 저장합니다. 이러한 구성은 ESXi 호스트의 부트 뱅크에서 아카이브된 파일로 지속됩니다. vSphere 7.0 업데이트 2 이전에는 아카이브된 ESXi 구성 파일이 암호화되지 않았습니다. vSphere 7.0 업데이트 2 이상에서는 아카이브된 구성 파일이 암호화됩니다. 따라서 공격자가 ESXi 호스트의 스토리지에 대한 물리적 액세스 권한이 있는 경우에도 이 파일을 직접 읽거나 변경할 수 없습니다.
공격자가 암호에 액세스하지 못하도록 방지할 뿐 아니라 TPM에 사용될 때 보안 ESXi 구성이 재부팅 시 가상 시스템 암호화 키를 저장할 수 있습니다. ESXi 호스트가 TPM으로 구성된 경우 TPM이 호스트에 대한 구성을 "봉인"하는 데 사용되어 강력한 보안을 보장합니다. 따라서 키 서버를 사용할 수 없거나 키 서버에 연결하지 못할 때 암호화된 워크로드가 계속 작동할 수 있습니다. ESXi 호스트의 vSphere 키 지속성의 내용을 참조하십시오.
ESXi 구성 암호화를 수동으로 활성화할 필요가 없습니다. vSphere 7.0 업데이트 2 이상을 설치하거나 이 버전으로 업그레이드하는 경우 아카이브된 ESXi 구성 파일이 암호화됩니다.
보안 ESXi 구성과 관련된 작업은 보안 ESXi 구성 관리 항목을 참조하십시오.
vSphere 7.0 업데이트 2 이전의 ESXi 구성 파일
ESXi 호스트의 구성은 호스트에서 실행되는 각 서비스에 대한 구성 파일로 구성됩니다. 구성 파일은 일반적으로 /etc/ 디렉토리에 있지만 다른 네임스페이스에도 상주할 수 있습니다. 구성 파일에는 서비스의 상태에 대한 런타임 정보가 포함되어 있습니다. 예를 들어 ESXi 호스트의 설정을 변경하는 경우 시간이 경과하면 구성 파일의 기본값이 변경될 수 있습니다. cron 작업은 정기적으로 ESXi 구성 파일을 백업하거나, ESXi가 정상적으로 종료되거나 요청 시 부트 뱅크에서 아카이브된 구성 파일을 생성합니다. ESXi가 재부팅되면 아카이브된 구성 파일을 읽고 백업을 생성한 시점의 ESXi의 상태를 재생성합니다. vSphere 7.0 업데이트 2 이전에는 아카이브된 구성 파일이 암호화되지 않았습니다. 따라서 시스템이 오프라인 상태일 때 물리적 ESXi 스토리지에 대한 액세스 권한이 있는 공격자가 이 파일을 읽고 변경할 수 있습니다.
보안 ESXi 구성이 구현되는 방식
ESXi 호스트를 설치하거나 vSphere 7.0 업데이트 2 이상으로 업그레이드한 후 처음 부팅할 때 다음과 같은 문제가 발생합니다.
- ESXi 호스트에 TPM이 있고 펌웨어에서 활성화된 경우 TPM에 저장된 암호화 키로 아카이브된 구성 파일이 암호화됩니다. 이 시점부터 호스트의 구성은 TPM에 의해 봉인됩니다.
- ESXi 호스트에 TPM이 없는 경우 ESXi가 KDF(키 파생 함수)를 사용하여 아카이브된 구성 파일에 대한 보안 구성 암호화 키를 생성합니다. KDF에 대한 입력이 encryption.info 파일의 디스크에 저장됩니다.
처음 부팅 후 ESXi 호스트가 재부팅되면 다음과 같은 문제가 발생합니다.
- ESXi 호스트에 TPM이 있는 경우 호스트가 해당 특정 호스트에 대한 TPM에서 암호화 키를 얻어야 합니다. TPM 측정값이 암호화 키를 생성할 때 사용된 봉인 정책을 충족하는 경우 호스트가 TPM에서 암호화 키를 얻습니다.
- ESXi 호스트에 TPM이 없는 경우 ESXi가 encryption.info 파일에서 정보를 읽어 보안 구성을 잠금 해제합니다.
보안 ESXi 구성 요구 사항
- ESXi 7.0 업데이트 2 이상
- 구성 암호화를 위한 TPM 2.0 및 봉인 정책 사용 기능
보안 ESXi 구성 복구 키
보안 ESXi 구성에는 복구 키가 포함됩니다. ESXi 보안 구성을 복구해야 하는 경우 명령줄 부팅 옵션으로 입력한 컨텐츠가 있는 복구 키를 사용합니다. 복구 키를 나열하여 복구 키 백업을 생성할 수 있습니다. 보안 요구 사항의 일부로 복구 키를 순환할 수도 있습니다.
복구 키의 백업 수행은 보안 ESXi 구성 관리에서 중요한 부분입니다. vCenter Server는 복구 키를 백업하도록 알리는 경보를 생성합니다.
보안 ESXi 구성 복구 키 경보
복구 키의 백업 수행은 보안 ESXi 구성 관리에서 중요한 부분입니다. TPM 모드의 ESXi 호스트가 vCenter Server에 연결되었거나 다시 연결될 때마다 vCenter Server가 복구 키를 백업하도록 알리는 경보를 생성합니다. 경보를 재설정할 때 조건이 변경되지 않는 한 경보가 다시 트리거되지 않습니다.
보안 ESXi 구성에 대한 모범 사례
보안 ESXi 복구 키에 대한 다음 모범 사례를 따릅니다.
- 복구 키를 나열하면 복구 키가 일시적으로 신뢰할 수 없는 환경에 표시되고 메모리에 위치합니다. 키의 추적을 제거합니다.
- 호스트를 재부팅하면 메모리에서 남은 키가 제거됩니다.
- 향상된 보호를 위해 호스트에서 암호화 모드를 활성화할 수 있습니다. 명시적으로 호스트 암호화 모드 활성화의 내용을 참조하십시오.
- 복구를 수행할 때:
- 신뢰할 수 없는 환경에서 복구 키의 추적을 제거하려면 호스트를 재부팅합니다.
- 향상된 보안을 위해 키를 한 번 복구한 후 복구 키를 순환하여 새 키를 사용합니다.
TPM 봉인 정책이란?
TPM은 PCR(플랫폼 구성 레지스터) 측정을 사용하여 중요 데이터에 대한 무단 액세스를 제한하는 정책을 구현할 수 있습니다. TPM이 있는 ESXi 호스트를 vSphere 7.0 업데이트 2 이상으로 업그레이드하거나 설치하는 경우 TPM은 보안 부팅 설정을 통합하는 정책을 사용하여 중요 정보를 봉인합니다. 이 정책은 데이터가 TPM으로 처음 봉인되었을 때 보안 부팅이 활성화된 경우 후속 부팅에서 데이터의 봉인을 해제하려고 시도할 때 보안 부팅이 계속 활성화되어야 하는지 확인합니다.
보안 부팅은 UEFI 펌웨어 표준의 일부입니다. UEFI 보안 부팅이 활성화되면 운영 체제 부팅 로더에 유효한 디지털 서명이 있는 경우가 아니면 호스트가 모든 UEFI 드라이버 또는 애플리케이션의 로드를 거부합니다.
UEFI 보안 부팅 적용을 비활성화하거나 활성화하도록 선택할 수 있습니다. 보안 ESXi 구성에 대한 보안 부팅 적용 활성화 또는 비활성화의 내용을 참조하십시오.
esxcli system settings encryption set --mode=TPMTPM을 활성화한 후에는 설정을 실행 취소할 수 없습니다.
esxcli system settings encryption set
명령이 실패합니다.
- vSphere 7.0 업데이트 2: NTZ(NationZ), IFX(Infineon Technologies)의 TPM 및 NTC(Nuvoton Technologies Corporation)의 특정 새 모델(예: NPCT75x)
- vSphere 7.0 업데이트 3: NTZ(NationZ)의 TPM
vSphere 7.0 업데이트 2 이상의 설치 또는 업그레이드 시 처음 부팅하는 동안 TPM을 사용할 수 없으면 설치 또는 업그레이드가 계속되고 모드의 기본값은 NONE으로 설정됩니다(즉, --mode=NONE
). 결과 동작은 TPM이 활성화되지 않은 것과 같습니다.
또한 TPM은 봉인 정책에서 execInstalledOnly 부팅 옵션에 대한 설정을 적용할 수도 있습니다. execInstalledOnly 적용은 VMkernel이 VIB의 일부로 제대로 패키지되고 서명된 바이너리만 실행하도록 보장하는 고급 ESXi부팅 옵션입니다. execInstalledOnly 부팅 옵션은 보안 부팅 옵션에 종속됩니다. 봉인 정책에서 execInstalledOnly 부팅 옵션을 적용하려면 먼저 보안 부팅 적용을 활성화해야 합니다. 보안 ESXi 구성에 대한 execInstalledOnly 적용 활성화 또는 비활성화의 내용을 참조하십시오.