ESXi 主機可以使用信賴平台模組 (TPM) 晶片,這是安全的密碼處理器,可透過提供以硬體 (而非軟體) 為基礎的信任保證來增強主機安全性。

TPM 是安全密碼處理器的業界標準。TPM 晶片可在大多數現今電腦中找到,從筆記型電腦到桌上型電腦,再到伺服器。vSphere 6.7 及更新版本支援 TPM 2.0 版。

TPM 2.0 晶片證明 ESXi 主機的身分。主機證明是驗證和證明在指定時間點主機軟體狀態的程序。UEFI 安全開機 (可確保在開機時僅載入簽署的軟體) 是成功證明的需求。TPM 2.0 晶片記錄並安全地儲存在系統中開機並由 vCenter Server 在遠端確認的軟體模組測量值。

遠端證明程序的高層級步驟如下:

  1. 建立遠端 TPM 的可信度,並在其上建立證明金鑰 (AK)。

    ESXi 主機新增至 vCenter Server、從中重新開機該主機,或將該主機重新連線至它時,vCenter Server 會從主機要求 AK。部分 AK 建立程序也涉及驗證 TPM 硬體本身,以確保已知 (及受信任) 廠商已生產此硬體。

  2. 從主機擷取證明報告。

    vCenter Server 要求主機傳送由 TPM 簽署的證明報告 (其中包含平台設定暫存器 (PCR) 的引述),及其他簽署的主機二進位檔中繼資料。透過檢查被認定為受信任的組態對應資訊,vCenter Server 可識別先前不受信任的主機上的平台。

  3. 驗證主機的真實性。

    vCenter Server 驗證已簽署引述的真實性、推斷軟體版本,並判斷前述軟體版本的可信度。如果 vCenter Server 判定已簽署引述無效,則遠端證明會失敗,並且主機不受信任。

若要使用 TPM 2.0 晶片,您的 vCenter Server 環境必須符合下列需求:

  • vCenter Server 6.7 或更新版本
  • 已在 UEFI 中安裝並啟用 TPM 2.0 晶片的 ESXi 6.7 或更新版本主機
  • 已啟用 UEFI 安全開機

確保在 ESXi 主機的 BIOS 中設定 TPM,以使用 SHA-256 雜湊演算法和 TIS/FIFO (先進先出) 介面,而非 CRB (命令回應緩衝)。如需設定這些必要 BIOS 選項的相關資訊,請參閱廠商說明文件。

在下列位置檢閱經過 VMware 認證的 TPM 2.0 晶片:

https://www.vmware.com/resources/compatibility/search.php

當您將已安裝 TPM 2.0 晶片的 ESXi 主機開機時,vCenter Server 會監控主機的證明狀態。vSphere Client 會在 vCenter Server摘要索引標籤的安全性下顯示硬體信任狀態,且顯示以下警示:

  • 綠色:正常狀態,表示完全信任。
  • 紅色:證明失敗。
備註: 如果您將 TPM 2.0 晶片新增到已由 vCenter Server 管理的 ESXi 主機,必須先中斷主機連線,再重新連線。如需中斷連線和重新連線主機的相關資訊,請參閱 vCenter Server 和主機管理說明文件。