vSphere 8.0부터 ESXi 엔트로피 구현은 FIPS 140-3 및 EAL4 인증을 지원합니다. 커널 부팅 옵션은 ESXi 호스트에서 어떤 엔트로피 소스를 활성화할지 제어합니다.

컴퓨팅에서 "엔트로피"라는 용어는 암호화(예: 네트워크를 통해 전송되는 데이터를 보호하기 위한 암호화 키 생성)에 사용하기 위해 수집되는 임의의 문자 및 데이터를 말합니다. 엔트로피는 키를 생성하고 네트워크를 통해 안전하게 통신하기 위해 보안에 필요합니다. 엔트로피는 시스템의 다양한 소스에서 수집되는 경우가 많습니다.

다음 조건이 true인 경우 FIPS 엔트로피 처리가 기본 동작입니다.

  1. 하드웨어는 RDSEED를 지원합니다.
  2. disableHwrng VMkernel 부팅 옵션이 없거나 FALSE입니다.
  3. entropySources VMkernel 부팅 옵션이 없거나 0(영) 또는 4입니다.

다음 VMkernel 부팅 옵션을 사용하여 ESXi 엔트로피 하위 시스템을 구성할 수 있습니다.

표 1. ESXi 엔트로피 VMkernel 부팅 옵션
VMkernel 부팅 옵션 옵션 유형 설명 기본값
disableHwrng(vSphere 8.0 이전에 사용 가능) 부울 TRUE로 설정된 경우 RDRAND 및 RDSEED 엔트로피 소스를 비활성화합니다("entropySources" 재정의). FALSE

하드웨어 난수 생성기 엔트로피 소스(있는 경우)를 활성화합니다.
entropySources(vSphere 8.0부터 사용 가능) 정수, 비트마스크 어떤 엔트로피 소스를 활성화할지 지정합니다.
  • 0=all
  • 1=interrupts
  • 2=rdrand
  • 4=rdseed
  • 8=userspace(EAL4 엔트로피 처리가 활성화됨)
entropySources=9를 지정하면 interrupts 및 userspace 엔트로피 소스가 활성화되고 rdrand 및 rdseed 엔트로피 소스가 비활성화됩니다.		 0(영)

사용 가능한 모든 엔트로피 소스가 활성화됩니다.
참고: RDRAND, RDSEED 또는 두 엔트로피 소스만 사용하도록 변경하기 전에 벤더 설명서를 확인하여 사용 중인 ESXi 호스트가 해당 구성을 지원하는지 확인하십시오. 호스트가 이러한 구성을 지원하지 않는 경우 vCenter Server는 경고로 이를 알리고 호스트는 interrupts 및 userspace 엔트로피 소스를 사용하도록 폴백됩니다.

사전 요구 사항

ESXi 호스트에 대한 루트 액세스 권한이 있어야 합니다.

프로시저

  1. SSH 또는 다른 원격 콘솔 연결을 사용하여 ESXi 호스트에서 세션을 시작합니다.
  2. 루트로 로그인합니다.
  3. 원하는 엔트로피 VMkernel 부팅 옵션을 설정합니다.
    1. disableHwrng에 대한 RDRAND 및 RDSEED 엔트로피 소스를 비활성화하려면 다음을 실행합니다. 
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. entropySources를 설정하려면 다음을 실행합니다. 
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      entropySources에 설정할 수 있는 값은 앞의 표를 참조하십시오.