Seite 1 von 1

Security - Auslesen des RAMs von VMs in vSphere

Verfasst: 04.01.2022, 17:24
von Plisma
Hallo liebe Community,

ich bin kein Experte für die Virtualisierung in vSphere und ESX und hoffe, dass ihr mir bei meinem Problem weiterhelfen könnt. Dabei handelt es sich um Folgendes:

Im Hauptspeicher einer VM mit aktivierter Verschlüsselung werden sensible Daten verarbeitet, die von den vSphere Administratoren nicht gelesen werden dürfen. Da der RAM einer VM, die sich im Betrieb befindet, an irgendeiner Stelle im Klartext verarbeitet werden muss, frage ich mich, ob das überhaupt möglich ist. Meine konkreten Fragen hierbei sind:

- Welche Möglichkeiten haben vSphere Admins, den RAM einer VM auszulesen? Können diese Admins den RAM einer VM vielleicht bspw. durch memory page tables rekonstruieren?
- Kann man überhaupt verhindern, dass vSphere Admins den Hauptspeicher einer VM auslesen? Wenn ja, wie würdet ihr dabei vorgehen?

Ich freue mich auf euren Input!

Danke & VG
Plisma

Re: Auslesen des RAMs von VMs in vSphere

Verfasst: 05.01.2022, 10:20
von ~thc
vSphere-Admins haben prinzipiell die volle Kontrolle über alle VMs und können durch diverse Techniken den RAM auslesen (virtual machine memory forensics).

Einzige Abhilfe ist hier, solch sensible Systeme nicht zu virtualisieren.

Re: Auslesen des RAMs von VMs in vSphere

Verfasst: 05.01.2022, 10:44
von Dayworker
Falls ich die Funktionsweise richtig verstanden habe, sehe ich das dank Intel Total Memory Encryption (Intel TME) und AMD Secure Encrypted Virtualization (SEV) etwas anders. Damit sollten sich alle VMs untereinander und der Hypervisor sauber trennen lassen.

Re: Auslesen des RAMs von VMs in vSphere

Verfasst: 05.01.2022, 11:08
von Plisma
Danke für die schnellen Antworten! Intel TME und und AMD SEV klingen nach vielversprechenden modernen Lösungen, für die jedoch vorgesehene Prozessoren genutzt werden müssen. Ich werde mich mal damit auseinandersetzen und die Umsetzbarkeit prüfen. Wenn damit der RAM tatsächlich vor dem Hypervisor verschlüsselt bleibt, wäre das schon die Lösung.

Kann jedoch jemand abschätzen, wie kompliziert die Analyse eines VM RAMs ohne Einsatz von Intel TME bzw. AMD SEV wäre? Nach meinem Verständnis haben vSphere-Admins keinen direkten Zugriff auf das Gast-Betriebssystem, wenn sie die Zugangsdaten der VM nicht kennen. Ein Auslesen des RAMs über die Bordmittel der VM schließe ich deshalb schonmal aus. Bleiben also die Bordmittel von vSphere. Da der RAM der VM nicht 1 zu 1 auf den physischen RAM abgebildet wird, muss ein vSphere-Admin schon einen gewissen Aufwand und technisches Know-How vorweisen, um den RAM einer VM zu rekonstruieren, oder?

Re: Auslesen des RAMs von VMs in vSphere

Verfasst: 05.01.2022, 11:09
von ~thc
O.K. Encrypted RAM hatte ich wegen der Performance-Verluste nicht erwähnt, aber wenn die Prozessor-Hersteller das in die Hardware schieben, kann das was werden.

Re: Security - Auslesen des RAMs von VMs in vSphere

Verfasst: 06.01.2022, 22:07
von Dayworker
Hinsichtlich der Frage der Analyse des RAMs durch einen Admin gebe ich mit Spectre & Meltdown im Hinterkopf zu bedenken, daß der Angreifer auch als Nutzer in einer anderen, laufenden VM auf derselben Server-HW sitzen kann. Es bleibt also weiterhin wichtig, CPU-Patches und OS immer auf aktuellen Stand zu halten.
Welchen Hintergrund hast du für deine Fragestellung? Wenn ein Anbieter für dich nicht vertrauenserweckend ist, such dir einen mit besserer Reputation.