在 vSphere 7.0 Update 2 及更新版本中,將透過加密保護 ESXi 組態。

什麼是安全 ESXi 組態

許多 ESXi 服務將密碼儲存在其組態檔中。這些組態以封存檔形式保存在 ESXi 主機的開機區中。在 vSphere 7.0 Update 2 之前,已封存的 ESXi 組態檔未加密。在 vSphere 7.0 Update 2 及更新版本中,將會加密已封存的組態檔。因此,攻擊者無法直接讀取或更改此檔案,即使他們具有 ESXi 主機儲存區的實際存取權。

除了防止攻擊者存取密碼之外,將安全 ESXi 組態與 TPM 搭配使用時,還可以在重新開機期間儲存虛擬機器加密金鑰。當 ESXi 主機設有 TPM 時,會使用 TPM 將組態「封裝」到主機,從而保證了強大的安全性。因此,加密的工作負載能夠在金鑰伺服器無法使用或無法連線時繼續運作。請參閱ESXi 主機上的 vSphere 金鑰持續性

無需手動啟用 ESXi 組態加密。安裝或升級至 vSphere 7.0 Update 2 或更新版本時,將會加密已封存的 ESXi 組態檔。

如需瞭解與安全 ESXi 組態關聯的工作,請參閱 管理安全 ESXi 組態

vSphere 7.0 Update 2 之前的 ESXi 組態檔概觀

ESXi 主機組態包括在主機上執行的每個服務的組態檔。組態檔通常位於 /etc/ 目錄中,但它們也可以位於其他命名空間中。組態檔包含有關服務狀態的執行階段資訊。隨著時間推移,組態檔中的預設值可能會變更,例如,當您變更 ESXi 主機上的設定時。cron 工作會定期備份 ESXi 組態檔、在 ESXi 正常關閉時備份或根據需要進行備份,並在開機區中建立已封存的組態檔。當 ESXi 重新開機後,它會讀取已封存的組態檔,並重新建立 ESXi 在備份建立時所處的狀態。在 vSphere 7.0 Update 2 之前,已封存的組態檔是未加密的。因此,可以存取實體 ESXi 儲存區的攻擊者能夠在系統離線時讀取並更改此檔案。

如何實作安全 ESXi 組態

在將 ESXi 主機安裝或升級至 vSphere 7.0 Update 2 或更新版本後首次開機期間,會發生下列情況:

  • 如果 ESXi 主機具有 TPM,且在韌體中已啟用,則已封存的組態檔會透過儲存在 TPM 中的加密金鑰進行加密。自此之後,主機組態將由 TPM 封裝。
  • 如果 ESXi 主機沒有 TPM,ESXi 會使用金鑰衍生功能 (KDF) 為已封存的組態檔產生安全的組態加密金鑰。KDF 的輸入將儲存在磁碟的 encryption.info 檔案中。
備註:ESXi 主機具有已啟用 TPM 的裝置時,您將獲得額外的保護。

ESXi 主機在首次開機後重新開機時,會發生下列情況:

  • 如果 ESXi 主機具有 TPM,則主機必須從 TPM 取得該特定主機的加密金鑰。如果 TPM 度量滿足建立加密金鑰時所使用的封裝原則,則主機會從 TPM 取得加密金鑰。
  • 如果 ESXi 主機沒有 TPM,則 ESXi 會從 encryption.info 檔案讀取資訊以解除鎖定安全組態。

安全 ESXi 組態需求

  • ESXi 7.0 Update 2 或更新版本
  • TPM 2.0,用於組態加密並且能夠使用封裝原則

安全 ESXi 組態復原金鑰

安全 ESXi 組態包括復原金鑰。如果您必須復原 ESXi 安全組態,請使用您輸入其內容作為命令列開機選項的復原金鑰。可以列出復原金鑰以建立復原金鑰備份。此外,作為安全性需求的一部分,還可以輪替復原金鑰。

建立復原金鑰備份是管理安全 ESXi 組態的一個重要部分。vCenter Server 會產生一個警示,提醒您備份復原金鑰。

安全 ESXi 組態復原金鑰警示

建立復原金鑰備份是管理安全 ESXi 組態的一個重要部分。每當 TPM 模式下的 ESXi 主機連線到或重新連線到 vCenter Server 時,vCenter Server 都會產生一個警示,提醒您備份復原金鑰。重設警示後,除非條件變更,否則不會再次觸發該警示。

安全 ESXi 組態的最佳做法

請遵循以下關於安全 ESXi 復原金鑰的最佳做法:

  • 列出復原金鑰時,該金鑰會暫時顯示在不受信任的環境中,並且位於記憶體中。移除金鑰追蹤。
    • 將主機重新開機會移除記憶體中的剩餘金鑰。
    • 為了增強保護,您可以在主機上啟用加密模式。請參閱明確啟用主機加密模式
  • 執行復原時:
    • 若要消除復原金鑰在不受信任的環境中的任何追蹤,請將主機重新開機。
    • 為了增強安全性,請在金鑰復原一次後,輪替復原金鑰以使用新金鑰。

什麼是 TPM 封裝原則

TPM 可使用平台設定暫存器 (PCR) 度量來實作用於限制對機密資料進行未經授權存取的原則。將具有 TPM 的 ESXi 主機安裝或升級至 vSphere 7.0 Update 2 及更新版本時,TPM 會使用涵蓋安全開機設定的原則來封裝敏感資訊。此原則會在首次使用 TPM 封裝資料時確認是否已啟用安全開機,然後,在後續開機過程中嘗試解除封裝資料時,安全開機仍必須處於啟用狀態。

安全開機是 UEFI 韌體標準的一部分。啟用 UEFI 安全開機的情況下,除非作業系統開機載入器具有有效的數位簽章,否則主機將拒絕載入任何 UEFI 驅動程式或應用程式。

您可以選擇停用或啟用 UEFI 安全開機強制執行。請參閱啟用或停用安全開機強制執行以確保安全的 ESXi 組態

備註: 如果在安裝或升級至 vSphere 7.0 Update 2 或更新版本時未啟用 TPM,可以稍後使用下列命令執行此操作。
esxcli system settings encryption set --mode=TPM
啟用 TPM 後,便無法復原設定。
即使為主機啟用了 TPM, esxcli system settings encryption set 命令也會在某些 TPM 上失敗。
  • 在 vSphere 7.0 Update 2 中:來自 NationZ (NTZ) 的 TPM、來自 Infineon Technologies (IFX) 的 TPM 以及來自 Nuvoton Technologies Corporation (NTC) 的某些新型號 (例如 NPCT75x)
  • 在 vSphere 7.0 Update 3 中:來自 NationZ (NTZ) 的 TPM

如果安裝或升級 vSphere 7.0 Update 2 或更新版本在首次開機期間無法使用 TPM,則安裝或升級將繼續,並且模式預設為 [無] (即,--mode=NONE)。由此產生的行為就像未啟用 TPM 一樣。

TPM 也可以在封裝原則中強制執行 execInstalledOnly 開機選項的設定。execInstalledOnly 強制執行是一個進階 ESXi 開機選項,可保證 VMkernel 僅執行作為 VIB 一部分進行正確封裝和簽署的二進位檔案。execInstalledOnly 開機選項依賴於安全開機選項。必須啟用安全開機強制執行,然後才能在封裝原則中強制執行 execInstalledOnly 開機選項。請參閱啟用或停用 execInstalledOnly 強制執行以確保安全的 ESXi 組態