ESXi 8.0 及更新版本中,ESXi 熵實作支援 FIPS 140-3 和 EAL4 憑證。核心開機選項可控制要在 ESXi 主機上啟用哪些熵來源。

在計算中,「熵」這個詞彙是指收集用於加密的隨機字元和資料,例如產生加密金鑰以確保透過網路傳輸的資料的安全性。在產生金鑰並透過網路進行安全通訊時,需要熵來確保安全性。熵通常是從系統上的各種來源收集的。

如果滿足以下條件,則 FIPS 熵處理是預設行為。

  1. 硬體支援 RDSEED。
  2. disableHwrng VMkernel 開機選項不存在或為 FALSE。
  3. entropySources VMkernel 開機選項不存在、為 0 (零) 或為 4。
警告:ESXi 主機設定僅用於外部熵的 entropySources (即 entropySources 設定為 8) 時,必須繼續使用熵 API 向主機提供外部熵。如果主機中的熵已用盡,則主機會變得無回應。若要從這種情況中復原,請將主機重新開機。如果主機仍無回應,則必須重新安裝 ESXi

ESXi 8.0 Update 1 開始,可以在 kickstart 檔案中設定外部熵來源以進行指令碼式安裝。透過使用指令碼式安裝方法,可以在高度安全的環境中設定 ESXi 以使用外部熵來源 (例如硬體安全性模組 (HSM)) 中的熵,並符合 BSI 通用準則、EAL4 和 NIST FIPS CMVP 等標準。如需有關設定外部熵來源的詳細資訊,請參閱VMware ESXi 安裝和設定說明文件。

可以使用以下 VMkernel 開機選項設定 ESXi Entropy 子系統:

表 1. ESXi Entropy VMkernel 開機選項
VMkernel 開機選項 選項類型 說明 預設值
disableHwrng (在 vSphere 8.0 之前可用) 布林值 設定為 TRUE (覆寫「entropySources」) 時停用 RDRAND 和 RDSEED 熵來源。 FALSE

啟用硬體隨機數字產生器熵來源 (如果存在)。

entropySources (從 vSphere 8.0 開始可用) 整數,位元遮罩 指定要啟用的熵來源。
  • 0 (default)

位元遮罩值:

  • 1=interrupts
  • 2=RDRAND
  • 4=RDSEED
  • 8=entropyd (已啟用 EAL4 熵處理)
指定 entropySources=9 會啟用中斷和使用者空間熵來源,並停用 RDRAND 和 RDSEED 熵來源。
0 (零)

如果支援 RDSEED,則預設值為 FIPS 符合性。否則,預設值為熵除外的所有熵來源。

備註: 在做出變更以僅使用 RDRAND、RDSEED 或同時使用兩個熵來源之前,請查看廠商說明文件,確保 ESXi 主機支援這些組態。如果主機不支援這些組態, vCenter Server 會顯示一則警示通知您,並且主機會回復為使用中斷和使用者空間熵來源。

必要條件

您必須在 ESXi 主機上具有根存取權。

程序

  1. 使用 SSH 或其他遠端主控台連線,以啟動 ESXi 主機上的工作階段。
  2. 以 root 身分登入。
  3. 設定所需的熵 VMkernel 開機選項。
    1. 若要為 disableHwrng 停用 RDRAND 和 RDSEED 熵來源,請執行以下作業:
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. 若要設定熵來源,請執行以下作業:
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      如需可為 entropySources 設定的值,請參閱上述資料表。