ESXi 8.0 이상에서 ESXi 엔트로피 구현은 FIPS 140-3 및 EAL4 인증을 지원합니다. 커널 부팅 옵션은 ESXi 호스트에서 어떤 엔트로피 소스를 활성화할지 제어합니다.

컴퓨팅에서 "엔트로피"라는 용어는 암호화(예: 네트워크를 통해 전송되는 데이터를 보호하기 위한 암호화 키 생성)에 사용하기 위해 수집되는 임의의 문자 및 데이터를 말합니다. 엔트로피는 키를 생성하고 네트워크를 통해 안전하게 통신하기 위해 보안에 필요합니다. 엔트로피는 시스템의 다양한 소스에서 수집되는 경우가 많습니다.

다음 조건이 true인 경우 FIPS 엔트로피 처리가 기본 동작입니다.

  1. 하드웨어는 RDSEED를 지원합니다.
  2. disableHwrng VMkernel 부팅 옵션이 없거나 FALSE입니다.
  3. entropySources VMkernel 부팅 옵션이 없거나 0(영) 또는 4입니다.
경고: 외부 엔트로피 전용 entropySources로 ESXi 호스트를 구성하는 경우(즉, entropySources가 8로 설정됨) 엔트로피 API를 사용하여 외부 엔트로피를 호스트에 계속 제공해야 합니다. 호스트에서 엔트로피가 소진되면 호스트가 응답하지 않게 됩니다. 이 상황에서 복구하려면 호스트를 재부팅합니다. 호스트가 여전히 응답하지 않으면 ESXi를 다시 설치해야 합니다.

ESXi 8.0 업데이트 1부터는 스크립트로 작성된 설치를 위해 kickstart 파일에서 외부 엔트로피 소스를 구성할 수 있습니다. HSM(하드웨어 보안 모듈)과 같은 외부 엔트로피 소스의 엔트로피를 사용하고 스크립트로 작성된 설치 방법을 사용하여 표준(예: BSI 조건 기준, EAL4 및 NIST FIPS CMVP)에 맞게 매우 안전한 환경에서 ESXi를 구성할 수 있습니다. 외부 엔트로피 소스 구성에 대한 자세한 내용은 "VMware ESXi 설치 및 설정" 설명서를 참조하십시오.

다음 VMkernel 부팅 옵션을 사용하여 ESXi 엔트로피 하위 시스템을 구성할 수 있습니다.

표 1. ESXi 엔트로피 VMkernel 부팅 옵션
VMkernel 부팅 옵션 옵션 유형 설명 기본값
disableHwrng(vSphere 8.0 이전에 사용 가능) 부울 TRUE로 설정된 경우 RDRAND 및 RDSEED 엔트로피 소스를 비활성화합니다("entropySources" 재정의). FALSE

하드웨어 난수 생성기 엔트로피 소스(있는 경우)를 활성화합니다.
entropySources(vSphere 8.0부터 사용 가능) 정수, 비트마스크 어떤 엔트로피 소스를 활성화할지 지정합니다.
  • 0(기본값)

비트마스크 값:

  • 1=interrupts
  • 2= RDRAND
  • 4= RDSEED
  • 8=entropyd(EAL4 엔트로피 처리가 활성화됨)
entropySources=9를 지정하면 interrupts 및 userspace 엔트로피 소스가 활성화되고 RDRAND 및 RDSEED 엔트로피 소스가 비활성화됩니다.		 0(영)

RDSEED가 지원되는 경우 기본값은 FIPS 규정 준수입니다. 기본값은 entropyd를 제외한 모든 엔트로피 소스입니다.
참고: RDRAND, RDSEED 또는 두 엔트로피 소스만 사용하도록 변경하기 전에 벤더 설명서를 확인하여 사용 중인 ESXi 호스트가 해당 구성을 지원하는지 확인하십시오. 호스트가 이러한 구성을 지원하지 않는 경우 vCenter Server는 경고로 이를 알리고 호스트는 interrupts 및 userspace 엔트로피 소스를 사용하도록 폴백됩니다.

사전 요구 사항

ESXi 호스트에 대한 루트 액세스 권한이 있어야 합니다.

프로시저

  1. SSH 또는 다른 원격 콘솔 연결을 사용하여 ESXi 호스트에서 세션을 시작합니다.
  2. 루트로 로그인합니다.
  3. 원하는 엔트로피 VMkernel 부팅 옵션을 설정합니다.
    1. disableHwrng에 대한 RDRAND 및 RDSEED 엔트로피 소스를 비활성화하려면 다음을 실행합니다. 
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. entropySources를 설정하려면 다음을 실행합니다. 
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      entropySources에 설정할 수 있는 값은 앞의 표를 참조하십시오.