vSphere 7.0 Update 2 之前的 ESXi 組態檔概觀

ESXi 主機組態包括在主機上執行的每個服務的組態檔。組態檔通常位於 /etc/ 目錄中，但它們也可以位於其他命名空間中。組態檔包含有關服務狀態的執行階段資訊。隨著時間推移，組態檔中的預設值可能會變更，例如，當您變更 ESXi 主機上的設定時。cron 工作會定期備份 ESXi 組態檔、在 ESXi 正常關閉時備份或根據需要進行備份，並在開機區中建立已封存的組態檔。當 ESXi 重新開機後，它會讀取已封存的組態檔，並重新建立 ESXi 在備份建立時所處的狀態。在 vSphere 7.0 Update 2 之前，已封存的組態檔是未加密的。因此，可以存取實體 ESXi 儲存區的攻擊者能夠在系統離線時讀取並更改此檔案。

安全 ESXi 組態概觀

在將 ESXi 主機安裝或升級至 vSphere 7.0 Update 2 或更新版本後首次開機期間，會發生下列情況：

• 如果 ESXi 主機具有 TPM，且在韌體中已啟用，則已封存的組態檔會透過儲存在 TPM 中的加密金鑰進行加密。自此之後，主機組態將由 TPM 封裝。
• 如果 ESXi 主機沒有 TPM，ESXi 會使用金鑰衍生功能 (KDF) 為已封存的組態檔產生安全的組態加密金鑰。KDF 的輸入將儲存在磁碟的 encryption.info 檔案中。

當 ESXi 主機在首次開機後重新開機時，會發生下列情況：

• 如果 ESXi 主機具有 TPM，則主機必須從 TPM 取得該特定主機的加密金鑰。如果 TPM 度量滿足建立加密金鑰時所使用的封裝原則，則主機會從 TPM 取得加密金鑰。
• 如果 ESXi 主機沒有 TPM，則 ESXi 會從 encryption.info 檔案讀取資訊以解除鎖定安全組態。

安全 ESXi 組態需求

• ESXi 7.0 Update 2 或更新版本
• TPM 2.0，用於組態加密並且能夠使用封裝原則

安全 ESXi 組態復原金鑰

安全 ESXi 組態包括復原金鑰。如果您必須復原 ESXi 安全組態，請使用您輸入其內容作為命令列開機選項的復原金鑰。可以列出復原金鑰以建立復原金鑰備份。此外，作為安全性需求的一部分，還可以輪替復原金鑰。

建立復原金鑰備份是管理安全 ESXi 組態的一個重要部分。vCenter Server 會產生一個警示，提醒您備份復原金鑰。

復原金鑰警示

建立復原金鑰備份是管理安全 ESXi 組態的一個重要部分。每當 TPM 模式下的 ESXi 主機連線到或重新連線到 vCenter Server 時，vCenter Server 都會產生一個警示，提醒您備份復原金鑰。重設警示後，除非條件變更，否則不會再次觸發該警示。

安全 ESXi 組態的最佳做法

請遵循以下關於復原金鑰的最佳做法：

• 列出復原金鑰時，該金鑰會暫時顯示在不受信任的環境中，並且位於記憶體中。移除金鑰追蹤。
  • 將主機重新開機會移除記憶體中的剩餘金鑰。
  • 為了增強保護，您可以在主機上啟用加密模式。請參閱明確啟用主機加密模式。
• 執行復原時：
  • 若要消除復原金鑰在不受信任的環境中的任何追蹤，請將主機重新開機。
  • 為了增強安全性，請在金鑰復原一次後，輪替復原金鑰以使用新金鑰。