在 ESXi 8.0 及更新版本中,ESXi 熵實作支援 FIPS 140-3 和 EAL4 憑證。核心開機選項可控制要在 ESXi 主機上啟用哪些熵來源。
在計算中,「熵」這個詞彙是指收集用於加密的隨機字元和資料,例如產生加密金鑰以確保透過網路傳輸的資料的安全性。在產生金鑰並透過網路進行安全通訊時,需要熵來確保安全性。熵通常是從系統上的各種來源收集的。
如果滿足以下條件,則 FIPS 熵處理是預設行為。
- 硬體支援 RDSEED。
- disableHwrng VMkernel 開機選項不存在或為 FALSE。
- entropySources VMkernel 開機選項不存在、為 0 (零) 或為 4。
警告: 為
ESXi 主機設定僅用於外部熵的 entropySources (即 entropySources 設定為 8) 時,必須繼續使用熵 API 向主機提供外部熵。如果主機中的熵已用盡,則主機會變得無回應。若要從這種情況中復原,請將主機重新開機。如果主機仍無回應,則必須重新安裝
ESXi。
從 ESXi 8.0 Update 1 開始,可以在 kickstart 檔案中設定外部熵來源以進行指令碼式安裝。透過使用指令碼式安裝方法,可以在高度安全的環境中設定 ESXi 以使用外部熵來源 (例如硬體安全性模組 (HSM)) 中的熵,並符合 BSI 通用準則、EAL4 和 NIST FIPS CMVP 等標準。如需有關設定外部熵來源的詳細資訊,請參閱VMware ESXi 安裝和設定說明文件。
可以使用以下 VMkernel 開機選項設定 ESXi Entropy 子系統:
VMkernel 開機選項 | 選項類型 | 說明 | 預設值 |
---|---|---|---|
disableHwrng (在 vSphere 8.0 之前可用) | 布林值 | 設定為 TRUE (覆寫「entropySources」) 時停用 RDRAND 和 RDSEED 熵來源。 | FALSE 啟用硬體隨機數字產生器熵來源 (如果存在)。 |
entropySources (從 vSphere 8.0 開始可用) | 整數,位元遮罩 | 指定要啟用的熵來源。
位元遮罩值:
|
0 (零) 如果支援 RDSEED,則預設值為 FIPS 符合性。否則,預設值為熵除外的所有熵來源。 |
備註: 在做出變更以僅使用 RDRAND、RDSEED 或同時使用兩個熵來源之前,請查看廠商說明文件,確保
ESXi 主機支援這些組態。如果主機不支援這些組態,
vCenter Server 會顯示一則警示通知您,並且主機會回復為使用中斷和使用者空間熵來源。
必要條件
您必須在 ESXi 主機上具有根存取權。
程序
- 使用 SSH 或其他遠端主控台連線,以啟動 ESXi 主機上的工作階段。
- 以 root 身分登入。
- 設定所需的熵 VMkernel 開機選項。
- 若要為 disableHwrng 停用 RDRAND 和 RDSEED 熵來源,請執行以下作業:
esxcli system settings kernel set -s disableHwrng -v TRUE
- 若要設定熵來源,請執行以下作業:
esxcli system settings kernel set -s entropySources -v entropy_source_value
如需可為 entropySources 設定的值,請參閱上述資料表。
- 若要為 disableHwrng 停用 RDRAND 和 RDSEED 熵來源,請執行以下作業: