Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.
(Das "alte Design" kommt wieder, wird ne Weile brauchen!)

VMs verschlüsseln?

Alles zum Thema vSphere 6.5, ESXi 6.5 und vCenter Server.

Moderatoren: irix, continuum, Dayworker, Tschoergez

Member
Beiträge: 80
Registriert: 07.01.2017, 04:25

VMs verschlüsseln?

Beitragvon jgreil » 30.10.2017, 12:36

Hallo,

ich habe gelesen, dass es seit 6.5 möglich ist, einzelne VMs zu verschlüsseln.
Wenn jetzt aber jemand vor Ort Zugriff auf den ESXi samt KMS und und vCenter erlangt, dann kann er ganz einfach auch auf die VMs zugreifen, oder? Also es ist kein Passwort hinterlegt, welches z.B. bei jedem Boot der VM oder des ESXi eingegeben werden muss, richtig?

Zur Verschlüsselung einer kompletten VM ist also weiterhin ein Tool im Gast-Betriebssystem (z.B. VeraCrypt) notwendig, richtig? Hab ich aktuell so gemacht und den gesamten Arbeitsspeicher reserviert. Wenn jetzt also jemand Zugriff auf die Files bekommt, dann kann er damit überhaupt nichts anfangen, solange er die VeraCrypt Verschlüsselung nicht knacken kann, korrekt?

Jenseits von Gut & Böse
Beiträge: 11234
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: VMs verschlüsseln?

Beitragvon irix » 30.10.2017, 13:20

Korrekt.

Gruss
Joerg

Member
Beiträge: 80
Registriert: 07.01.2017, 04:25

Re: VMs verschlüsseln?

Beitragvon jgreil » 30.10.2017, 14:28

Danke für die Bestätigung!
Der Nachteil bei meiner Lösung ist halt, dass ich z.B. fast 10 VMs per VeraCrypt verschlüsselt habe und somit bei jedem Neustart der VM das Boot-Passwort händisch eingeben muss.

Gäbs hierfür evtl. eine komfortablere Lösung? Dass man das Passwort z.B. nur einmal beim Botten des ESXi eingibt?
Es sollen die gewünschten VMs aber trotzdem gleich stark geschützt sein wie jetzt. Also wenn jemand physikalischen Zugriff auf den ausgeschalteten Server erlangt oder die Files kopiert, soll er damit nichts anfangen können. Gibts da irgendwas, was weniger aufwändig wäre als aktuell bei mir?

Guru
Beiträge: 2542
Registriert: 27.12.2004, 22:17

Re: VMs verschlüsseln?

Beitragvon rprengel » 31.10.2017, 09:27

jgreil hat geschrieben:Danke für die Bestätigung!
Der Nachteil bei meiner Lösung ist halt, dass ich z.B. fast 10 VMs per VeraCrypt verschlüsselt habe und somit bei jedem Neustart der VM das Boot-Passwort händisch eingeben muss.

Gäbs hierfür evtl. eine komfortablere Lösung? Dass man das Passwort z.B. nur einmal beim Botten des ESXi eingibt?
Es sollen die gewünschten VMs aber trotzdem gleich stark geschützt sein wie jetzt. Also wenn jemand physikalischen Zugriff auf den ausgeschalteten Server erlangt oder die Files kopiert, soll er damit nichts anfangen können. Gibts da irgendwas, was weniger aufwändig wäre als aktuell bei mir?


Hallo,
dafür hat jede VM aber auch einen eigenen Schlüssel wenn du unterschiedliche Kennwörter nutzt. Nimm es als Vorteil.
Wie sicherst du deine VMs?
Gruss

Member
Beiträge: 80
Registriert: 07.01.2017, 04:25

Re: VMs verschlüsseln?

Beitragvon jgreil » 31.10.2017, 09:54

Ok, als Vorteil kann man es natürlich auch sehen.
Trotzdem würde ich mich es aber sehr interessieren, ob es vielleicht auch eine komfortablere Möglichkeit gibt? Also, dass ich das PW nicht mehr jedem Boot von jeder VM eingeben musst. Gibts da irgendwas?

Zum Sichern möchte ich mir Veeam mal ansehen. Ich habe gelesen, dass es da jetzt eine integrierte Verschlüsselung gibt!?
Es wäre ja auch ziemlich dumm, wenn man seine VMs verschlüsselt, die Backups aber unverschlüsselt ablegt, oder? Also da das Backup ja im Laufenden Betrieb gemacht wird, hat VeraCrypt zu dem Zeitpunkt die Festplatte zum Betrieb ja entschlüsselt und somit wäre ein normales Backup auch nicht geschützt, oder?

Guru
Beiträge: 2542
Registriert: 27.12.2004, 22:17

Re: VMs verschlüsseln?

Beitragvon rprengel » 31.10.2017, 10:07

jgreil hat geschrieben:Ok, als Vorteil kann man es natürlich auch sehen.
Trotzdem würde ich mich es aber sehr interessieren, ob es vielleicht auch eine komfortablere Möglichkeit gibt? Also, dass ich das PW nicht mehr jedem Boot von jeder VM eingeben musst. Gibts da irgendwas?

Zum Sichern möchte ich mir Veeam mal ansehen. Ich habe gelesen, dass es da jetzt eine integrierte Verschlüsselung gibt!?
Es wäre ja auch ziemlich dumm, wenn man seine VMs verschlüsselt, die Backups aber unverschlüsselt ablegt, oder? Also da das Backup ja im Laufenden Betrieb gemacht wird, hat VeraCrypt zu dem Zeitpunkt die Festplatte zum Betrieb ja entschlüsselt und somit wäre ein normales Backup auch nicht geschützt, oder?


Die Backups müssten ja beim Festpreis neu gestartet werden und würden den Key wieder abfragen. Allerdings wenn jemand an dein Backup kommt könnte er in eine Kopie in Ruhe versuchen das Teil auf zu machen. Wenn die Daten so wichtig sind hilft eher eine sehr restriktive Zugriffsregelung damit niemand in die Nähe der Daten kommt. Oder noch besser Daten möglichst vermeiden. Keine Daten kein Ärger
https://www.vladan.fr/archives/
Ich meine ich hätte da auch mal was zum Thema gelesen.
Gruss

Jenseits von Gut & Böse
Beiträge: 11234
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: VMs verschlüsseln?

Beitragvon irix » 31.10.2017, 10:11

Backupprogramme koennen schon gefuehlt immer und ewig das Backup auch verschluesseln und somit kann/macht Veeam das auch wenn man es moechte. Andere ueberlassen es z.B der HW. Es kommt darauf an was man eigentlich erreichen moechte.

Was das VMware Encryption angeht so bilde ich mir ein das fuer das normale Backup transparent ist man man somit wieder entschluesselte Daten am Ende hat. Da sind wir dann wieder bei dem was man eigentlich genau erreichen moechte.

Gruss
Joerg

Guru
Beiträge: 2542
Registriert: 27.12.2004, 22:17

Re: VMs verschlüsseln?

Beitragvon rprengel » 31.10.2017, 10:30

irix hat geschrieben:Backupprogramme koennen schon gefuehlt immer und ewig das Backup auch verschluesseln und somit kann/macht Veeam das auch wenn man es moechte. Andere ueberlassen es z.B der HW. Es kommt darauf an was man eigentlich erreichen moechte.

Was das VMware Encryption angeht so bilde ich mir ein das fuer das normale Backup transparent ist man man somit wieder entschluesselte Daten am Ende hat. Da sind wir dann wieder bei dem was man eigentlich genau erreichen moechte.

Gruss
Joerg


Und alles ist für die Katz wenn die Daten im Netzwerk mitgelesen werden oder jemand Abzüge erstellen kann.
Backup ist ein Teil der kompletten Datenschutz und Datensicherungsstrategie. Das Thema ist eine echte Option für viel Ärger.
Nebenbei sollte bei allen Überlegungen zum Backup überlegt werden wie den Schutzansprüchen dann bei einer Datenwiederherstellung Genüge getan werden kann.
Entscheiden ist eigentlich auch zu wissen wann man überzieht und besser mal die Kirche im Dorf lässt.
Wir haben viel mit Sozialversicheren zu tun. Da ergeben sich aus der Gesetzeslage schon diverse Vorgaben die wir alle dadurch erfüllen das wir Echtdaten konsequent aus unserem Netz raus halten. Dadurch vermeiden wir Backups noch zusätzlich sichern zu müssen.
Gruss

Member
Beiträge: 80
Registriert: 07.01.2017, 04:25

Re: VMs verschlüsseln?

Beitragvon jgreil » 31.10.2017, 11:32

Meine Anforderungen wären eigentlich recht simpel, ich möchte folgendes erreichen:
Wenn jemand Zugriff auf die Files der VMs, die Backups oder den kompletten physikalischen Server im ausgeschalteten Zustand bekommt dann sollte er nicht in der Lage sein, die VMs bis ins Windows zu Starten oder irgendwelche Dateien daraus auslesen können.

Momentan habei ch das so gelöst:
- Jede VM eigenständig im Gast-Betriebssystem mit VeraCrypt komplett verschlüsselt.
- Kompletten Gast-Arbeitsspeicher pro VM reserviert (damit kein Swap File im Dateisystem liegt).
- Verschlüsseltes Backup der VMs per Veeam angedacht (Veeam wirbt mit einer End-to-End Verschlüsselung, was für mich jetzt aber nicht zwingend ist).

Nachteile dieser Lösung:
- VeraCrypt Boot Passwort muss bei jedem Start jeder VM manuell eingegeben werden.
- Evtl. etwas Performance-Einbußen durch VeraCrypt Verschlüsselung.

Meine Frage wäre jetzt:
Gibt es hierfür irgendeine komfortablere Lösung?
Also mit der Sicherheit bin ich sehr zufrieden, aber es ist halt mühsam, bei jedem Start jeder VM das Boot-Passwort manuell einzugeben.
Gäbe es hier irgendeine Lösung, wo man alles komplett beim Booten des ESXi mit einem generellen Passwort entschlüsseln kann?
So lange das niemand in die Hände kriegt, kann er mit dem Server ja auch nichts anfangen, oder?

Member
Beiträge: 130
Registriert: 01.12.2015, 18:35

Re: VMs verschlüsseln?

Beitragvon Stefan.r » 31.10.2017, 12:07

jeh nach Budget würde ich den Weg gehen und direkt die vms auf einem NFS Server deponieren der Verschlüsselt ist, die Backup Kiste natürlich als Pendant im SMB, wenn dir jemand die Vms im Betrieb wegdumpt bringt dir das natürlich nix(ist ner Torrent Seite in Malaysia passiert)

Member
Beiträge: 80
Registriert: 07.01.2017, 04:25

Re: VMs verschlüsseln?

Beitragvon jgreil » 31.10.2017, 12:42

Danke, das ist ein sehr guter Ansatz!
Dieser NFS Server könnte theoretisch ja auch auf dem gleichen ESXi laufen. Von der Performance her bin ich halt etwas verunsichert.

Es würde ja auch z.B. ein 300 GB Container im Datastore von VMware reichen, der erst entschlüsselt werden muss, bevor man ihn verwenden kann. Da legt man die ganzen VMs rein und ist sicher. Gibts sowas von VMware gar nicht? Oder ist es vielleicht sogar schon wo inkludiert?

Im Laufenden Betrieb wäre man auch nicht geschützt, aber das ist keine Anforderung von mir, da ich mir nicht wirklich einen Schutz vorstellen kann.

Guru
Beiträge: 2542
Registriert: 27.12.2004, 22:17

Re: VMs verschlüsseln?

Beitragvon rprengel » 31.10.2017, 12:45

jgreil hat geschrieben:Meine Anforderungen wären eigentlich recht simpel, ich möchte folgendes erreichen:
Wenn jemand Zugriff auf die Files der VMs, die Backups oder den kompletten physikalischen Server im ausgeschalteten Zustand bekommt dann sollte er nicht in der Lage sein, die VMs bis ins Windows zu Starten oder irgendwelche Dateien daraus auslesen können.

Momentan habei ch das so gelöst:
- Jede VM eigenständig im Gast-Betriebssystem mit VeraCrypt komplett verschlüsselt.
- Kompletten Gast-Arbeitsspeicher pro VM reserviert (damit kein Swap File im Dateisystem liegt).
- Verschlüsseltes Backup der VMs per Veeam angedacht (Veeam wirbt mit einer End-to-End Verschlüsselung, was für mich jetzt aber nicht zwingend ist).

Nachteile dieser Lösung:
- VeraCrypt Boot Passwort muss bei jedem Start jeder VM manuell eingegeben werden.
- Evtl. etwas Performance-Einbußen durch VeraCrypt Verschlüsselung.

Meine Frage wäre jetzt:
Gibt es hierfür irgendeine komfortablere Lösung?
Also mit der Sicherheit bin ich sehr zufrieden, aber es ist halt mühsam, bei jedem Start jeder VM das Boot-Passwort manuell einzugeben.
Gäbe es hier irgendeine Lösung, wo man alles komplett beim Booten des ESXi mit einem generellen Passwort entschlüsseln kann?
So lange das niemand in die Hände kriegt, kann er mit dem Server ja auch nichts anfangen, oder?

Von unterwegs
dann müsstest du was finden was sich an die vorhandene Hardware des Servers bindet und die VMs lockt wenn sie nicht in der definierten Umgebung sind. Kann Esx einen Hardwaretoken nutzen?
Gruss

Member
Beiträge: 80
Registriert: 07.01.2017, 04:25

Re: VMs verschlüsseln?

Beitragvon jgreil » 31.10.2017, 12:47

Ich möchte einfach alles mit einem starken Passwort schützen, was ich halt nach einem Neustart des ESXi manuell eingeben muss, geht das nicht?

Gehts damit evtl?
https://blogs.vmware.com/vsphere/2016/1 ... urity.html

Member
Beiträge: 130
Registriert: 01.12.2015, 18:35

Re: VMs verschlüsseln?

Beitragvon Stefan.r » 31.10.2017, 12:55

hm also der NFS als VM und da dann die Files? das klingt sehr suboptimal was die Performance angeht, von wieviel VMs und Datenmengen sprechen wir eigentlich?, Crypting direkt auf Hardware wäre aus sicht da Intel CPUS AES on Hardware supporten, weiß nicht ob das auch in vms geht

andere idee wäre noch gewesen zu schauen ob man den bootloader an nen Stick binden kann und nur bootet wenn der Stick steckt wenn sowas geht

ist halt kein Hyperv, da könnte man true/vera direkt drauf schmeißen vor den Boot

Member
Beiträge: 80
Registriert: 07.01.2017, 04:25

Re: VMs verschlüsseln?

Beitragvon jgreil » 31.10.2017, 12:58

Es sind ca. 10 VMs mit je 20 bis 30 GB.

Das mit dem Stick ist auch eine Idee, aber sowas möchte ich nicht, denn der Stick kann ja genau so wieder Server geklaut werden.

Ich vesteh noch nicht ganz, was die VM Encryption hier ist, aber gings damit nicht sowie gewollt?
https://blogs.vmware.com/vsphere/2016/1 ... urity.html

Member
Beiträge: 130
Registriert: 01.12.2015, 18:35

Re: VMs verschlüsseln?

Beitragvon Stefan.r » 31.10.2017, 13:03

dazu kann ich nix sagen, ich weiß nur das du unbedingt die orginale vmx brauchst um an die Daten zu kommen

Member
Beiträge: 80
Registriert: 07.01.2017, 04:25

Re: VMs verschlüsseln?

Beitragvon jgreil » 31.10.2017, 13:08

Ich könnte doch diese neue VM Encryption Policy verwenden und einen KMS verwenden, der am ESXi selbst läuft. Der KMS sollte dann mit VeraCrypt vollverschlüsselt sein und solange dieser nicht gebootet ist, kann kein Zugriff auf VMs im Encrypted Storage stattfinden, oder?
Somit würden die VMs sicher im Encrypted Storage schlummern und ich würde mir die Eingabe der 10 Boot-Passwörter ersparen und bräuchte dafür nur mehr nach einem ESXi Reboot ein einziges Passwort beim Boot der KMS VM eingeben.
Oder habe ich einen Denkfehler?

Aber was ist dieser KMS genau, den VMware hier verlangt? Ist das ein KMS von Microsoft oder wie? Oder gäbs da auch irgend ein kleines Freeware Tool, was ich in meinem Fall verwenden könnte?

Benutzeravatar
Member
Beiträge: 5
Registriert: 09.11.2017, 18:15

Re: VMs verschlüsseln?

Beitragvon emeriks » 12.11.2017, 13:14

Hi,
schau mal hier: https://www.vladan.fr/vmware-vsphere-6- ... n-details/
Da wird das recht plausibel erklärt.
1. Der KMS ist ein "Third Party"
2. Beim Backup einer VM wird diese entschlüsslt übertragen. Wenn das also wasserdicht sein soll, dann muss das Backup selbst auch verschlüsselt werden.
3. Das Ganze macht natürlich nur Sinn, wenn der KMS nicht auf den gleichen Host (Datastore) läuft, wie die VM an sich. Wenn jemand die Festplatten oder den ganzen Server entwendet oder "absaugt", dann darf dabei der KMS nicht enthalten sein. Der KMS sollte zudem auch rämlich getrennt und netzwerktechnisch getrennt (Firewall o.ä.) vom Host mit den VM's betrieben werden.
4. Beachte die Angängigkeit der VM's von der Verfügbar des KMS-Servers!
5. Den KMS-Server mit anderen Lösungen im Gast zu verschlüsseln ist denkbar. Jedoch wenn es jemanden gelingt, von der laufenden VM mit dem KMS-Server einen Snapshot incl. Arbeitsspeicher zu erstellen und die VM inkl. diesem Snapshot zu kopieren, dann kann er den KMS jederzeit durch wiederherstellen des Snapshot in den Betriebszustand versetzen, in welchem das Passwort für die Gastverschlüsselung bereits eingegeben ist. Der laufende KMS würde es dann auch ermöglichen, die mit ESX verschlüsselten VM's zu starten.

E.


Zurück zu „vSphere 6.5“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast