ESXi 主機可以使用信賴平台模組 (TPM) 晶片,這是安全的密碼處理器,可透過提供以硬體 (而非軟體) 為基礎的信任保證來增強主機安全性。
TPM 是安全密碼處理器的業界標準。TPM 晶片可在大多數現今電腦中找到,從筆記型電腦到桌上型電腦,再到伺服器。vSphere 6.7 及更新版本支援 TPM 2.0 版。
TPM 2.0 晶片證明 ESXi 主機的身分。主機證明是驗證和證明在指定時間點主機軟體狀態的程序。UEFI 安全開機 (可確保在開機時僅載入簽署的軟體) 是成功證明的需求。TPM 2.0 晶片記錄並安全地儲存在系統中開機並由 vCenter Server 在遠端確認的軟體模組測量值。
遠端證明程序的高層級步驟如下:
- 建立遠端 TPM 的可信度,並在其上建立證明金鑰 (AK)。
將 ESXi 主機新增至 vCenter Server、從中重新開機該主機,或將該主機重新連線至它時,vCenter Server 會從主機要求 AK。部分 AK 建立程序也涉及驗證 TPM 硬體本身,以確保已知 (及受信任) 廠商已生產此硬體。
- 從主機擷取證明報告。
vCenter Server 要求主機傳送由 TPM 簽署的證明報告 (其中包含平台設定暫存器 (PCR) 的引述),及其他簽署的主機二進位檔中繼資料。透過檢查被認定為受信任的組態對應資訊,vCenter Server 可識別先前不受信任的主機上的平台。
- 驗證主機的真實性。
vCenter Server 驗證已簽署引述的真實性、推斷軟體版本,並判斷前述軟體版本的可信度。如果 vCenter Server 判定已簽署引述無效,則遠端證明會失敗,並且主機不受信任。
若要使用 TPM 2.0 晶片,您的 vCenter Server 環境必須符合下列需求:
- vCenter Server 6.7 或更新版本
- 已在 UEFI 中安裝並啟用 TPM 2.0 晶片的 ESXi 6.7 或更新版本主機
- 已啟用 UEFI 安全開機
確保在 ESXi 主機的 BIOS 中設定 TPM,以使用 SHA-256 雜湊演算法和 TIS/FIFO (先進先出) 介面,而非 CRB (命令回應緩衝)。如需設定這些必要 BIOS 選項的相關資訊,請參閱廠商說明文件。
在下列位置檢閱經過 VMware 認證的 TPM 2.0 晶片:
https://www.vmware.com/resources/compatibility/search.php
當您將已安裝 TPM 2.0 晶片的 ESXi 主機開機時,vCenter Server 會監控主機的證明狀態。vSphere Client 會在 vCenter Server 的摘要索引標籤的安全性下顯示硬體信任狀態,且顯示以下警示:
- 綠色:正常狀態,表示完全信任。
- 紅色:證明失敗。