Citrix Hypervisor

Measured Boot Supplemental Pack

Citrix Hypervisor 측정 부트 보조 팩을 사용하면 부팅 시 Citrix Hypervisor 호스트의 주요 구성 요소를 측정할 수 있습니다. 또한 원격 증명 솔루션이 이러한 측정값을 안전하게 수집할 수 있도록 하는 API도 제공합니다. 이 보조 팩은 신뢰할 수 있는 실행 기술(TXT)을 지원하는 Intel 컴퓨터 시스템과 호환됩니다.

이 추가 팩은 Citrix Hypervisor 8.2 프리미엄 에디션 페이지에서 다운로드할 수 있습니다.

참고:

Measured Boot Supplemental Pack 팩은 Citrix Hypervisor 프리미엄 에디션 고객 또는 Citrix Virtual Apps and Desktops 또는 Citrix DaaS 권한을 통해 Citrix Hypervisor에 액세스할 수 있는 고객에게 제공됩니다.

배경

이 보조 팩을 설치한 후 다음에 Citrix Hypervisor 서버가 부팅되면 Intel의 TXT는 낮은 수준의 시스템 구성 요소 (예: 펌웨어, BIOS, Xen 하이퍼바이저, dom0 커널 및 dom0 initrd) 를 측정합니다. 이러한 측정값은 TPM(신뢰할 수 있는 플랫폼 모듈)이라고 하는 호스트의 안전한 위치에 저장됩니다. 원격 증명 솔루션과 같은 클라이언트에 새로운 인터페이스가 제공되어 이러한 측정 값을 안전하게 수집할 수 있습니다.

원격 증명

원격 증명 솔루션은 ‘알려진 정상’ 상태의 Citrix Hypervisor 서버에 연결하여 작동합니다. Citrix Hypervisor 서버의 TPM에서 원격으로 안전하게 쿼리하여 낮은 수준의 주요 시스템 측정 목록을 확인할 수 있습니다. 이러한 측정값을 ‘화이트리스트’ 또는 ‘알려진’ 측정값 목록에 저장합니다.

이 시점에서 원격 증명 소프트웨어는 주기적으로 주요 시스템 측정값을 수집하여 ‘알려진’ 목록과 비교합니다.

다음과 같은 경우 호스트는 ‘신뢰할 수 없음’으로 간주됩니다.

  • 원격 증명 소프트웨어가 측정값을 수집할 수 없는 경우
  • 측정값이 변경되는 경우
  • 암호화 키가 유효하지 않은 경우

이 경우 고객에게 통보됩니다. CloudStack, OpenStack 또는 Workload Balancing 소프트웨어와 같은 높은 수준의 오케스트레이션 소프트웨어는 영향을 받는 호스트에서 지능적인 보안 작업을 수행할 수 있습니다.

Citrix Hypervisor 서버 준비

이 보조 팩이 제대로 작동하려면 데이터를 수집하기 전에 호스트의 BIOS에서 다음 설정을 편집하십시오.

  1. 레거시 모드로 부팅하도록 Citrix Hypervisor 서버를 설정합니다.

    참고:

    측정된 부팅에서는 UEFI 부팅 모드가 지원되지 않습니다.

  2. Intel AES-NI를 활성화합니다.

  3. 부팅 전 측정값을 사용하여 TPM 보안 또는 켜기를 켭니다.

  4. TPM을 지웁니다.

    이렇게 하면 TPM과 연결된 이전 설정 및 암호가 지워져 Citrix Hypervisor Measured Boot Supplemental Pack 팩에서 TPM을 제어할 수 있습니다.

    참고:

    이 단계 이후에는 재부팅이 필요합니다.

  5. TPM을 사용하도록 설정합니다.

  6. Intel TXT를 활성화합니다.

참고:

  • 5단계와 6단계 이후에 재부팅해야 합니다.
  • BIOS 설정은 하드웨어 제조업체에 따라 다릅니다. 특정 환경에서 TPM 및 TXT를 사용하도록 설정하는 방법은 하드웨어 설명서를 참조하십시오.

보조 팩 설치

Citrix Hypervisor CLI를 사용하여 이 보조 팩을 설치합니다. 다른 소프트웨어 업데이트와 마찬가지로 이 보조 팩을 적용하기 전에 데이터를 백업하는 것이 좋습니다.

보조 팩은 zip 파일 내에서 전송할 수 있습니다. 보조 팩 ISO가 zip 파일 내에 포함되어 있는 경우 아래 단계를 수행하기 전에 이 zip 파일의 압축을 풉니다 (디스크 ISO 이미지 생성).

실행 중인 Citrix Hypervisor 시스템에 설치

  1. 업데이트할 Citrix Hypervisor 호스트에 직접 보조 팩을 다운로드합니다.

    /tmp/ 디렉토리에 저장하는 것이 좋습니다.

    또는 인터넷에 연결된 컴퓨터에 파일을 다운로드하고 ISO 이미지를 CD에 구울 수 있습니다.

  2. Citrix Hypervisor 센터를 사용하여 Citrix Hypervisor 호스트의 콘솔에 액세스하거나 SSH (보안 셸) 를 사용하여 직접 로그온합니다.

  3. 가장 간단한 방법은 ISO 파일에서 직접 설치하는 것입니다. 다음을 입력합니다.

    xe-install-supplemental-pack /tmp/Citrix Hypervisor-8.2-measured-boot.iso
    <!--NeedCopy-->
    

    또는 ISO를 CD에 굽도록 선택한 경우 디스크를 마운트해야 합니다. 예를 들어 CD-ROM의 경우 다음을 입력합니다.

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    <!--NeedCopy-->
    
  4. 변경 사항을 적용하려면 호스트를 재부팅합니다.

재설치

이전 버전 위에 이 추가 팩을 설치하는 경우 이전 설치를 덮어쓰는지 확인합니다. xe-install-supplemental-pack 설치 중 메시지가 표시되면 Y를 입력합니다.

기본 암호 업데이트

이전 버전의 보조 팩에서는 기본 암호가 뒤에 줄 바꿈과 함께 xenroot로 설정되었습니다. 이 후행 줄 바꿈은 이 버전의 보조 팩에서 기본 암호에 대해 제거되었으며 새 기본 암호 xenroot가 있습니다.

사용자 지정 암호는 /opt/xensource/tpm/config에서 설정할 수 있으며 echo -n <password | sha1sum을 사용하여 생성할 수 있는 일반 텍스트 암호의 sha1 해시여야 합니다. 이 명령줄에서 -n를 생략하면 암호에 후행 개행이 포함됩니다.

에셋 태그 설정

자산 태그는 --tpm_set_asset_tag--tpm_clear_asset_tag 메서드와 함께 /opt/xensource/tpm/xentpm 바이너리를 사용하거나 tpm_set_asset_tag (‘tag’ 인수 사용) 및 tpm_clear_asset_tag 함수와 함께 관리 API tpm 플러그인을 사용하여 설정할 수 있습니다.

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag
<!--NeedCopy-->

참고:

이 단계 이후에는 재부팅이 필요합니다.

추가 정보

측정된 부팅 보조 팩을 다운로드하려면 Citrix Hypervisor 8.2 프리미엄 에디션 페이지를 참조하십시오.

이 추가 팩을 설치하는 데 문제가 있는 경우 Citrix 기술 지원에 문의하십시오.

Citrix Hypervisor 8.2 설명서를 보려면 Citrix 제품 설명서 웹 사이트를 방문하십시오.

Measured Boot Supplemental Pack