Verschlüsselung von VMs unter VMware

[v-rtc 88]

Hallo zusammen,

 

mich würde interessieren, ob jemand schon VMs unter VMware verschlüsselt und wie das ganze abläuft, vor allem in Bezug auf den Key Management Server (KMS). Kann das wirklich nur ein 3rd Party Hersteller sein, von denen eine Handvoll auf der VMware Liste steht? 

Ziel ist es, die VMs zu verschlüsseln, den Master Key selber zu haben. Eine Windows PKI Umgebung wäre vorhanden.

 

Vielen Dank.

Grüße

[zahni 554]

Ich kann hier nur auf die Doku verweisen:

 

https://docs.vmware.com/de/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-8D7D09AC-8579-4A33-9449-8E8BA49A3003.html

 

Wie immer: Was soll damit erreicht werden? Siehe Thema Bitlcoker bei Windows 2019?

Also welche potentiellen Sicherheitsprobleme will man lösen? 

In einem physikalisch sicheren RZ, halte ich die Verschlüsselung für ähnlich sinnfrei wie beim Storage. In die Regel ist das nur Aktionismus um irgendjemanden zu  sagen: Da schau, ist doch sicher weil verschlüsselt. 

Dem Hacker, der in einem laufenden Server eindringt, ist die Verschlüsselung  herzlich egal, weil die  transparent im Hintergrund geschieht.

 

-Zahni

[v-rtc 88]

Hast Du Erfahrungen damit?

 

Verschlüsselung weil nicht unser RZ und zudem  das Ganze durch einen DL betreut wird.

[zahni 554]

Nö. Nur als Tipp: Überlege, was Du erreichen willst. Wenn der DL auch die Server-Software betreut, kommt er ran.

[v-rtc 88]

Ziel ist es dem DL auszuschließen. Daher die Idee mit Verschlüsselung und KMS ... oder ist da ein Denkfehler?

[NilsK 2.934]

Moin,

 

wenn ihr sowas vorhabt, bindet als erstes den Dienstleister ein. Er muss das können und unterstützen. Er braucht die Hardware und Infrastruktur dafür. Wenn das der Fall ist, kann er euch auch genau sagen, was ihr tun müsst. Und dann braucht ihr eine exakte Vereinbarung über den Service Level.

 

Sowas macht man nicht auf eigene Faust.

 

Gruß, Nils

 

[v-rtc 88]

9 minutes ago, NilsK said:

Moin,

 

wenn ihr sowas vorhabt, bindet als erstes den Dienstleister ein. Er muss das können und unterstützen. Er braucht die Hardware und Infrastruktur dafür. Wenn das der Fall ist, kann er euch auch genau sagen, was ihr tun müsst. Und dann braucht ihr eine exakte Vereinbarung über den Service Level.

 

Sowas macht man nicht auf eigene Faust.

 

Gruß, Nils

 

Hallo,

 

der DL weiß es nicht, bzw. hat darin bisher keine Erfahrung. Auch das ESAE Model ist unbekannt. 

Wichtig für uns ist, dass wir die Berechtigungen am Ende steuern können und eben die Hoheit über unsere (virtuellen) Systeme behalten.

 

Grüße

[NorbertFe 2.032]

vor einer Stunde schrieb v-rtc:

eben die Hoheit über unsere (virtuellen) Systeme behalten

Habt ihr aber nicht, wenn der dl da nicht mitmacht. ;)

[v-rtc 88]

4 minutes ago, NorbertFe said:

Habt ihr aber nicht, wenn der dl da nicht mitmacht. ;)

Jepp, dann haben wir aber ein anderes Problem (Aufsicht). Daher ist die Frage, ob der Gedanke überhaupt so funktioniert mit dem 3rd KMS Server und der VMware Umgebung.

[Dukel 454]

Funktionieren wird es. Wir hatten das auch mal getestet (mit KMS Server virtuell auf den selben ESX Hosts (unverschlüsselt) -> Produktiv sollte man das aber so nicht machen).

Wo soll denn euer KMS laufen? Auch im RZ bei dem DL? Dann hat dieser darauf physikalischen Zugang. Da kommt es dann auf das KMS an, dass dieses trotz physikalischen Zugang sicher ist.

 

Bei einem solchen Konstrukt spielt Vertrauen zum DL eine große Rolle und man muss evtl. andere Maßnahmen (Rechtliche / Organisatorische) treffen.

[v-rtc 88]

Das ist eine gute Frage, vermutlich auch dort :(

 

Mein Vertrauen ist nicht groß, da vieles nicht bekannt ist beim DL.

[NilsK 2.934]

Moin,

 

für mich klingt es, als sei das dann der falsche DL, zumindest für das Thema. Wie soll er das ordentlich bereitstellen können, wenn er einen wichtigen Teil der Technik nicht kennt? Womit ich nicht gesagt habe, dass andere das besser können; es kann durchaus sein, dass die Technik zu exotisch ist, weil zu wenig nachgefragt (das weiß ich schlicht nicht).

 

Vielleicht sind auch eure Ideen bzw. Anforderungen noch nicht weit genug ausgearbeitet. Wenn ich sowas vorhätte und der DL könnte das nicht, würde ich die Kombination gar nicht erst weiter in Betracht ziehen.

 

Gruß, Nils

 

[v-rtc 88]

Danke Dir. Leider wohl viel zu spät. Mal schauen wie es endet. Denke aber auch von unserer Seite war nicht alles sauber definiert. Melde mich wieder. Danke an alle.

[v-rtc 88]

Sorry, noch mal eine Verständnis Frage: Ohne KMS und TPM im Host kann ich unter VMware keine Windows VM verschlüsseln oder?

[Dukel 454]

TPM ist meines Wissens nicht unbedingt nötig. Es wird ja die VM (VMDK) verschlüsselt.

TPM brauchst du evtl. für Virtual TPM (wenn du innerhalb einer VM den TPM nutzen möchtest). Aber da bin ich mir auch nich 100% sicher.