無需手動啟用 ESXi 組態加密。安裝或升級至 vSphere 7.0 Update 2 或更新版本時,將會加密已封存的 ESXi 組態檔。
在 vSphere 7.0 Update 2 之前,已封存的 ESXi 組態檔未加密。在 vSphere 7.0 Update 2 及更新版本中,將會加密已封存的組態檔。當 ESXi 主機設有信賴平台模組 (TPM) 時,會使用 TPM 將組態「封裝」到主機,從而保證了強大的安全性。
vSphere 7.0 Update 2 之前的 ESXi 組態檔概觀
ESXi 主機組態包括在主機上執行的每個服務的組態檔。組態檔通常位於 /etc/ 目錄中,但它們也可以位於其他命名空間中。組態檔包含有關服務狀態的執行階段資訊。隨著時間推移,組態檔中的預設值可能會變更,例如,當您變更 ESXi 主機上的設定時。cron 工作會定期備份 ESXi 組態檔、在 ESXi 正常關閉時備份或根據需要進行備份,並在開機區中建立已封存的組態檔。當 ESXi 重新開機後,它會讀取已封存的組態檔,並重新建立 ESXi 在備份建立時所處的狀態。在 vSphere 7.0 Update 2 之前,已封存的組態檔是未加密的。因此,可以存取實體 ESXi 儲存區的攻擊者能夠在系統離線時讀取並更改此檔案。
安全 ESXi 組態概觀
在將 ESXi 主機安裝或升級至 vSphere 7.0 Update 2 或更新版本後首次開機期間,會發生下列情況:
- 如果 ESXi 主機具有 TPM,且在韌體中已啟用,則已封存的組態檔會透過儲存在 TPM 中的加密金鑰進行加密。自此之後,主機組態將由 TPM 封裝。
- 如果 ESXi 主機沒有 TPM,ESXi 會使用金鑰衍生功能 (KDF) 為已封存的組態檔產生安全的組態加密金鑰。KDF 的輸入將儲存在磁碟的 encryption.info 檔案中。
當 ESXi 主機在首次開機後重新開機時,會發生下列情況:
- 如果 ESXi 主機具有 TPM,則主機必須從 TPM 取得該特定主機的加密金鑰。如果 TPM 度量滿足建立加密金鑰時所使用的封裝原則,則主機會從 TPM 取得加密金鑰。
- 如果 ESXi 主機沒有 TPM,則 ESXi 會從 encryption.info 檔案讀取資訊以解除鎖定安全組態。
安全 ESXi 組態需求
- ESXi 7.0 Update 2 或更新版本
- TPM 2.0,用於組態加密並且能夠使用封裝原則
安全 ESXi 組態復原金鑰
安全 ESXi 組態包括復原金鑰。如果您必須復原 ESXi 安全組態,請使用您輸入其內容作為命令列開機選項的復原金鑰。可以列出復原金鑰以建立復原金鑰備份。此外,作為安全性需求的一部分,還可以輪替復原金鑰。
建立復原金鑰備份是管理安全 ESXi 組態的一個重要部分。vCenter Server 會產生一個警示,提醒您備份復原金鑰。
復原金鑰警示
建立復原金鑰備份是管理安全 ESXi 組態的一個重要部分。每當 TPM 模式下的 ESXi 主機連線到或重新連線到 vCenter Server 時,vCenter Server 都會產生一個警示,提醒您備份復原金鑰。重設警示後,除非條件變更,否則不會再次觸發該警示。
安全 ESXi 組態的最佳做法
請遵循以下關於復原金鑰的最佳做法:
- 列出復原金鑰時,該金鑰會暫時顯示在不受信任的環境中,並且位於記憶體中。移除金鑰追蹤。
- 將主機重新開機會移除記憶體中的剩餘金鑰。
- 為了增強保護,您可以在主機上啟用加密模式。請參閱明確啟用主機加密模式。
- 執行復原時:
- 若要消除復原金鑰在不受信任的環境中的任何追蹤,請將主機重新開機。
- 為了增強安全性,請在金鑰復原一次後,輪替復原金鑰以使用新金鑰。