Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Security - Auslesen des RAMs von VMs in vSphere

Alles zum Thema vSphere 7.0, ESXi 7.0 und vCenter-Server bzw VCSA7.

Moderatoren: irix, Dayworker

Member
Beiträge: 2
Registriert: 04.01.2022, 16:55

Security - Auslesen des RAMs von VMs in vSphere

Beitragvon Plisma » 04.01.2022, 17:24

Hallo liebe Community,

ich bin kein Experte für die Virtualisierung in vSphere und ESX und hoffe, dass ihr mir bei meinem Problem weiterhelfen könnt. Dabei handelt es sich um Folgendes:

Im Hauptspeicher einer VM mit aktivierter Verschlüsselung werden sensible Daten verarbeitet, die von den vSphere Administratoren nicht gelesen werden dürfen. Da der RAM einer VM, die sich im Betrieb befindet, an irgendeiner Stelle im Klartext verarbeitet werden muss, frage ich mich, ob das überhaupt möglich ist. Meine konkreten Fragen hierbei sind:

- Welche Möglichkeiten haben vSphere Admins, den RAM einer VM auszulesen? Können diese Admins den RAM einer VM vielleicht bspw. durch memory page tables rekonstruieren?
- Kann man überhaupt verhindern, dass vSphere Admins den Hauptspeicher einer VM auslesen? Wenn ja, wie würdet ihr dabei vorgehen?

Ich freue mich auf euren Input!

Danke & VG
Plisma

Guru
Beiträge: 2630
Registriert: 23.02.2012, 12:26

Re: Auslesen des RAMs von VMs in vSphere

Beitragvon ~thc » 05.01.2022, 10:20

vSphere-Admins haben prinzipiell die volle Kontrolle über alle VMs und können durch diverse Techniken den RAM auslesen (virtual machine memory forensics).

Einzige Abhilfe ist hier, solch sensible Systeme nicht zu virtualisieren.

King of the Hill
Beiträge: 13470
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Re: Auslesen des RAMs von VMs in vSphere

Beitragvon Dayworker » 05.01.2022, 10:44

Falls ich die Funktionsweise richtig verstanden habe, sehe ich das dank Intel Total Memory Encryption (Intel TME) und AMD Secure Encrypted Virtualization (SEV) etwas anders. Damit sollten sich alle VMs untereinander und der Hypervisor sauber trennen lassen.

Member
Beiträge: 2
Registriert: 04.01.2022, 16:55

Re: Auslesen des RAMs von VMs in vSphere

Beitragvon Plisma » 05.01.2022, 11:08

Danke für die schnellen Antworten! Intel TME und und AMD SEV klingen nach vielversprechenden modernen Lösungen, für die jedoch vorgesehene Prozessoren genutzt werden müssen. Ich werde mich mal damit auseinandersetzen und die Umsetzbarkeit prüfen. Wenn damit der RAM tatsächlich vor dem Hypervisor verschlüsselt bleibt, wäre das schon die Lösung.

Kann jedoch jemand abschätzen, wie kompliziert die Analyse eines VM RAMs ohne Einsatz von Intel TME bzw. AMD SEV wäre? Nach meinem Verständnis haben vSphere-Admins keinen direkten Zugriff auf das Gast-Betriebssystem, wenn sie die Zugangsdaten der VM nicht kennen. Ein Auslesen des RAMs über die Bordmittel der VM schließe ich deshalb schonmal aus. Bleiben also die Bordmittel von vSphere. Da der RAM der VM nicht 1 zu 1 auf den physischen RAM abgebildet wird, muss ein vSphere-Admin schon einen gewissen Aufwand und technisches Know-How vorweisen, um den RAM einer VM zu rekonstruieren, oder?

Guru
Beiträge: 2630
Registriert: 23.02.2012, 12:26

Re: Auslesen des RAMs von VMs in vSphere

Beitragvon ~thc » 05.01.2022, 11:09

O.K. Encrypted RAM hatte ich wegen der Performance-Verluste nicht erwähnt, aber wenn die Prozessor-Hersteller das in die Hardware schieben, kann das was werden.

King of the Hill
Beiträge: 13470
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Re: Security - Auslesen des RAMs von VMs in vSphere

Beitragvon Dayworker » 06.01.2022, 22:07

Hinsichtlich der Frage der Analyse des RAMs durch einen Admin gebe ich mit Spectre & Meltdown im Hinterkopf zu bedenken, daß der Angreifer auch als Nutzer in einer anderen, laufenden VM auf derselben Server-HW sitzen kann. Es bleibt also weiterhin wichtig, CPU-Patches und OS immer auf aktuellen Stand zu halten.
Welchen Hintergrund hast du für deine Fragestellung? Wenn ein Anbieter für dich nicht vertrauenserweckend ist, such dir einen mit besserer Reputation.


Zurück zu „vSphere 7.0“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste