ESXi 8.0 이상에서 ESXi 엔트로피 구현은 FIPS 140-3 및 EAL4 인증을 지원합니다. 커널 부팅 옵션은 ESXi 호스트에서 어떤 엔트로피 소스를 활성화할지 제어합니다.
컴퓨팅에서 "엔트로피"라는 용어는 암호화(예: 네트워크를 통해 전송되는 데이터를 보호하기 위한 암호화 키 생성)에 사용하기 위해 수집되는 임의의 문자 및 데이터를 말합니다. 엔트로피는 키를 생성하고 네트워크를 통해 안전하게 통신하기 위해 보안에 필요합니다. 엔트로피는 시스템의 다양한 소스에서 수집되는 경우가 많습니다.
다음 조건이 true인 경우 FIPS 엔트로피 처리가 기본 동작입니다.
- 하드웨어는 RDSEED를 지원합니다.
- disableHwrng VMkernel 부팅 옵션이 없거나 FALSE입니다.
- entropySources VMkernel 부팅 옵션이 없거나 0(영) 또는 4입니다.
ESXi 8.0 업데이트 1부터는 스크립트로 작성된 설치를 위해 kickstart 파일에서 외부 엔트로피 소스를 구성할 수 있습니다. HSM(하드웨어 보안 모듈)과 같은 외부 엔트로피 소스의 엔트로피를 사용하고 스크립트로 작성된 설치 방법을 사용하여 표준(예: BSI 조건 기준, EAL4 및 NIST FIPS CMVP)에 맞게 매우 안전한 환경에서 ESXi를 구성할 수 있습니다. 외부 엔트로피 소스 구성에 대한 자세한 내용은 "VMware ESXi 설치 및 설정" 설명서를 참조하십시오.
다음 VMkernel 부팅 옵션을 사용하여 ESXi 엔트로피 하위 시스템을 구성할 수 있습니다.
VMkernel 부팅 옵션 | 옵션 유형 | 설명 | 기본값 |
---|---|---|---|
disableHwrng(vSphere 8.0 이전에 사용 가능) | 부울 | TRUE로 설정된 경우 RDRAND 및 RDSEED 엔트로피 소스를 비활성화합니다("entropySources" 재정의). | FALSE 하드웨어 난수 생성기 엔트로피 소스(있는 경우)를 활성화합니다. |
entropySources(vSphere 8.0부터 사용 가능) | 정수, 비트마스크 | 어떤 엔트로피 소스를 활성화할지 지정합니다.
비트마스크 값:
|
0(영) RDSEED가 지원되는 경우 기본값은 FIPS 규정 준수입니다. 기본값은 entropyd를 제외한 모든 엔트로피 소스입니다. |
사전 요구 사항
ESXi 호스트에 대한 루트 액세스 권한이 있어야 합니다.
프로시저
- SSH 또는 다른 원격 콘솔 연결을 사용하여 ESXi 호스트에서 세션을 시작합니다.
- 루트로 로그인합니다.
- 원하는 엔트로피 VMkernel 부팅 옵션을 설정합니다.
- disableHwrng에 대한 RDRAND 및 RDSEED 엔트로피 소스를 비활성화하려면 다음을 실행합니다.
esxcli system settings kernel set -s disableHwrng -v TRUE
- entropySources를 설정하려면 다음을 실행합니다.
esxcli system settings kernel set -s entropySources -v entropy_source_value
entropySources에 설정할 수 있는 값은 앞의 표를 참조하십시오.
- disableHwrng에 대한 RDRAND 및 RDSEED 엔트로피 소스를 비활성화하려면 다음을 실행합니다.