Hallo,
ich suche einen KMS für die Verschlüsselung von Volumes in einer vCenter-Umgebung. Mittlerweile weiß ich, dass KMIP 1.1 unterstützt werden muss und es z.B. SafeNet gibt, suche aber noch nach Alternativen. Jedenfalls muss es eine Softwarebasierte Lösung sein (also keine Appliance).
Bei meinen Recherchen im Internet bin ich leider nur auf Seiten gestoßen, welche das Thema sehr theoretisch beschreiben.
Gibt es hier eventuell auch eine Open Source-Lösung?
Vielen Dank schon einmal im Voraus. Sollte ich eine Lösung haben, werde ich diese hier kurz beschreiben.
Ralf
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
KMS für Verschlüsselung von Volumes
Re: KMS für Verschlüsselung von Volumes
RalfOE hat geschrieben:Hallo,
ich suche einen KMS für die Verschlüsselung von Volumes in einer vCenter-Umgebung. Mittlerweile weiß ich, dass KMIP 1.1 unterstützt werden muss und es z.B. SafeNet gibt, suche aber noch nach Alternativen. Jedenfalls muss es eine Softwarebasierte Lösung sein (also keine Appliance).
Bei meinen Recherchen im Internet bin ich leider nur auf Seiten gestoßen, welche das Thema sehr theoretisch beschreiben.
Gibt es hier eventuell auch eine Open Source-Lösung?
Vielen Dank schon einmal im Voraus. Sollte ich eine Lösung haben, werde ich diese hier kurz beschreiben.
Ralf
Hallo,
welches Problem willst du genau lösen?
Gruss
Re: KMS für Verschlüsselung von Volumes
Hallo,
danke für die prompte Reaktion.
Es geht um eine vSphere-Infrastruktur mit ESXi 6.5 und vCenter-Server. Hier sollen mehrere Volumes, welche sich auf Servern in der "Cloud" befinden, verschlüsselt werden. VMware bietet das über eine KMS-Infrastruktur als KMIP-Client an.
Die KMS-Infrastruktur soll, wenn möglich, an einem "privaten" Standort stehen. Wenn möglich, soll es sich hierbei nicht um eine Appliance handeln.
VMware bietet selbst keinen Key Management Server an, weshalb dieser von irgendeinem Dritthersteller kommen muss. Wir suchen nun nach Alternativen, also verschiedenen Anbietern. Interessant wäre, ob es hier eine Open Source-Lösung gibt und jemand bereits Erfahrungen hiermit hat.
Gruß
Ralf
danke für die prompte Reaktion.
Es geht um eine vSphere-Infrastruktur mit ESXi 6.5 und vCenter-Server. Hier sollen mehrere Volumes, welche sich auf Servern in der "Cloud" befinden, verschlüsselt werden. VMware bietet das über eine KMS-Infrastruktur als KMIP-Client an.
Die KMS-Infrastruktur soll, wenn möglich, an einem "privaten" Standort stehen. Wenn möglich, soll es sich hierbei nicht um eine Appliance handeln.
VMware bietet selbst keinen Key Management Server an, weshalb dieser von irgendeinem Dritthersteller kommen muss. Wir suchen nun nach Alternativen, also verschiedenen Anbietern. Interessant wäre, ob es hier eine Open Source-Lösung gibt und jemand bereits Erfahrungen hiermit hat.
Gruß
Ralf
Re: KMS für Verschlüsselung von Volumes
Wenn ich da richtig verstanden habe, ist die in 6.5 neue, mit einem KMIP-Client verbundene Verschlüsselung transparent für ausgewählte VMs/VMDKs. Es ist keine Datastore-Verschlüsselung. ("Volume" ist nicht eindeutig.)
Re: KMS für Verschlüsselung von Volumes
OK.
Sorry, ich meinte, dass die VMDKs bestimmter Maschinen verschlüsselt werden sollen.
Sorry, ich meinte, dass die VMDKs bestimmter Maschinen verschlüsselt werden sollen.
Re: KMS für Verschlüsselung von Volumes
Leider kein Input bislang.
Wenn ich über andere Wege etwas erfahre, werde ich dies hier veröffentlichen.
Aber vielleicht findet sich ja auch hier eine Antwort.
Wenn ich über andere Wege etwas erfahre, werde ich dies hier veröffentlichen.
Aber vielleicht findet sich ja auch hier eine Antwort.
Re: KMS für Verschlüsselung von Volumes
Ohne in dem Thema zu stecken, nur copy&Paste aus Gostev's (Veeam) Forum letter:
>> https://www.hytrust.com/products/keycontrol/
Live-Session zu 6.5 von Gostev: https://www.youtube.com/watch?v=rTqjYFjMGIk&t=720s
hier spricht er von "OpenKMIP" (unreliable)
For vSphere users – the rumor I have shared in my latest live session on vSphere 6.5 quickly appeared to be true. There is now a KMS that supports VMware and is free, you only pay for support (5K USD). This obviously makes it perfect for everyone who wants to evaluate the encrypted VMs functionality! Just keep in mind all the limitations and complexities - particularly around disaster recovery - that come with those, I have detailed them in my session. Based on those, I don't see why would I personally use encrypted VMs en masse unless I was a service provider - however there's definitely one perfect use case for everyone, and that is Domain Controller VMs. Besides, some customers may additionally consider encrypting those database VMs holding personal data and credit card numbers. It's certainly good to have this tool up your sleeve!
>> https://www.hytrust.com/products/keycontrol/
Live-Session zu 6.5 von Gostev: https://www.youtube.com/watch?v=rTqjYFjMGIk&t=720s
hier spricht er von "OpenKMIP" (unreliable)
Re: KMS für Verschlüsselung von Volumes
Hallo Stefan,
erst einmal danke. Wir sind noch nicht dazu gekommen, das zu testen. Sobald unsere Tests durch sind, werde ich hier noch einmal antworten.
Cheers
Ralf
erst einmal danke. Wir sind noch nicht dazu gekommen, das zu testen. Sobald unsere Tests durch sind, werde ich hier noch einmal antworten.
Cheers
Ralf
Re: KMS für Verschlüsselung von Volumes
Hallo,
ich hab mir des KeyControl mal angesehen, für 6.5 kann das Teil dann etwas zu viel (wenn man nur KMIP Funktion braucht) - wird auch entsprechend kosten. Mir währ auch so ne Open oder "essentials" Lösung recht ... evtl. MasterKey auf USB Exportieren und in den Save legen für Desaster recovery würd ja reichen.
Jedenfalls hängt mein test vCenter Server beim hinzufügen des KMS - er hat nen timeout bei was auch immer.
So ganz ausgereift scheint mir das noch nicht zu sein.
ich hab mir des KeyControl mal angesehen, für 6.5 kann das Teil dann etwas zu viel (wenn man nur KMIP Funktion braucht) - wird auch entsprechend kosten. Mir währ auch so ne Open oder "essentials" Lösung recht ... evtl. MasterKey auf USB Exportieren und in den Save legen für Desaster recovery würd ja reichen.
Jedenfalls hängt mein test vCenter Server beim hinzufügen des KMS - er hat nen timeout bei was auch immer.
So ganz ausgereift scheint mir das noch nicht zu sein.
Zurück zu „vCenter / VMware VirtualCenter“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste