v-rtc 92 Geschrieben 24. Juli 2019 Melden Geschrieben 24. Juli 2019 Hallo zusammen, mich würde interessieren, ob jemand schon VMs unter VMware verschlüsselt und wie das ganze abläuft, vor allem in Bezug auf den Key Management Server (KMS). Kann das wirklich nur ein 3rd Party Hersteller sein, von denen eine Handvoll auf der VMware Liste steht? Ziel ist es, die VMs zu verschlüsseln, den Master Key selber zu haben. Eine Windows PKI Umgebung wäre vorhanden. Vielen Dank. Grüße
zahni 587 Geschrieben 24. Juli 2019 Melden Geschrieben 24. Juli 2019 Ich kann hier nur auf die Doku verweisen: https://docs.vmware.com/de/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-8D7D09AC-8579-4A33-9449-8E8BA49A3003.html Wie immer: Was soll damit erreicht werden? Siehe Thema Bitlcoker bei Windows 2019? Also welche potentiellen Sicherheitsprobleme will man lösen? In einem physikalisch sicheren RZ, halte ich die Verschlüsselung für ähnlich sinnfrei wie beim Storage. In die Regel ist das nur Aktionismus um irgendjemanden zu sagen: Da schau, ist doch sicher weil verschlüsselt. Dem Hacker, der in einem laufenden Server eindringt, ist die Verschlüsselung herzlich egal, weil die transparent im Hintergrund geschieht. -Zahni
v-rtc 92 Geschrieben 24. Juli 2019 Autor Melden Geschrieben 24. Juli 2019 Hast Du Erfahrungen damit? Verschlüsselung weil nicht unser RZ und zudem das Ganze durch einen DL betreut wird.
zahni 587 Geschrieben 24. Juli 2019 Melden Geschrieben 24. Juli 2019 Nö. Nur als Tipp: Überlege, was Du erreichen willst. Wenn der DL auch die Server-Software betreut, kommt er ran.
v-rtc 92 Geschrieben 24. Juli 2019 Autor Melden Geschrieben 24. Juli 2019 Ziel ist es dem DL auszuschließen. Daher die Idee mit Verschlüsselung und KMS ... oder ist da ein Denkfehler?
NilsK 3.046 Geschrieben 25. Juli 2019 Melden Geschrieben 25. Juli 2019 Moin, wenn ihr sowas vorhabt, bindet als erstes den Dienstleister ein. Er muss das können und unterstützen. Er braucht die Hardware und Infrastruktur dafür. Wenn das der Fall ist, kann er euch auch genau sagen, was ihr tun müsst. Und dann braucht ihr eine exakte Vereinbarung über den Service Level. Sowas macht man nicht auf eigene Faust. Gruß, Nils
v-rtc 92 Geschrieben 25. Juli 2019 Autor Melden Geschrieben 25. Juli 2019 9 minutes ago, NilsK said: Moin, wenn ihr sowas vorhabt, bindet als erstes den Dienstleister ein. Er muss das können und unterstützen. Er braucht die Hardware und Infrastruktur dafür. Wenn das der Fall ist, kann er euch auch genau sagen, was ihr tun müsst. Und dann braucht ihr eine exakte Vereinbarung über den Service Level. Sowas macht man nicht auf eigene Faust. Gruß, Nils Hallo, der DL weiß es nicht, bzw. hat darin bisher keine Erfahrung. Auch das ESAE Model ist unbekannt. Wichtig für uns ist, dass wir die Berechtigungen am Ende steuern können und eben die Hoheit über unsere (virtuellen) Systeme behalten. Grüße
NorbertFe 2.283 Geschrieben 25. Juli 2019 Melden Geschrieben 25. Juli 2019 vor einer Stunde schrieb v-rtc: eben die Hoheit über unsere (virtuellen) Systeme behalten Habt ihr aber nicht, wenn der dl da nicht mitmacht. ;)
v-rtc 92 Geschrieben 25. Juli 2019 Autor Melden Geschrieben 25. Juli 2019 4 minutes ago, NorbertFe said: Habt ihr aber nicht, wenn der dl da nicht mitmacht. ;) Jepp, dann haben wir aber ein anderes Problem (Aufsicht). Daher ist die Frage, ob der Gedanke überhaupt so funktioniert mit dem 3rd KMS Server und der VMware Umgebung.
Dukel 468 Geschrieben 25. Juli 2019 Melden Geschrieben 25. Juli 2019 Funktionieren wird es. Wir hatten das auch mal getestet (mit KMS Server virtuell auf den selben ESX Hosts (unverschlüsselt) -> Produktiv sollte man das aber so nicht machen). Wo soll denn euer KMS laufen? Auch im RZ bei dem DL? Dann hat dieser darauf physikalischen Zugang. Da kommt es dann auf das KMS an, dass dieses trotz physikalischen Zugang sicher ist. Bei einem solchen Konstrukt spielt Vertrauen zum DL eine große Rolle und man muss evtl. andere Maßnahmen (Rechtliche / Organisatorische) treffen. 1
v-rtc 92 Geschrieben 25. Juli 2019 Autor Melden Geschrieben 25. Juli 2019 Das ist eine gute Frage, vermutlich auch dort :( Mein Vertrauen ist nicht groß, da vieles nicht bekannt ist beim DL.
NilsK 3.046 Geschrieben 25. Juli 2019 Melden Geschrieben 25. Juli 2019 Moin, für mich klingt es, als sei das dann der falsche DL, zumindest für das Thema. Wie soll er das ordentlich bereitstellen können, wenn er einen wichtigen Teil der Technik nicht kennt? Womit ich nicht gesagt habe, dass andere das besser können; es kann durchaus sein, dass die Technik zu exotisch ist, weil zu wenig nachgefragt (das weiß ich schlicht nicht). Vielleicht sind auch eure Ideen bzw. Anforderungen noch nicht weit genug ausgearbeitet. Wenn ich sowas vorhätte und der DL könnte das nicht, würde ich die Kombination gar nicht erst weiter in Betracht ziehen. Gruß, Nils 1
v-rtc 92 Geschrieben 25. Juli 2019 Autor Melden Geschrieben 25. Juli 2019 Danke Dir. Leider wohl viel zu spät. Mal schauen wie es endet. Denke aber auch von unserer Seite war nicht alles sauber definiert. Melde mich wieder. Danke an alle.
v-rtc 92 Geschrieben 1. August 2019 Autor Melden Geschrieben 1. August 2019 Sorry, noch mal eine Verständnis Frage: Ohne KMS und TPM im Host kann ich unter VMware keine Windows VM verschlüsseln oder?
Dukel 468 Geschrieben 1. August 2019 Melden Geschrieben 1. August 2019 TPM ist meines Wissens nicht unbedingt nötig. Es wird ja die VM (VMDK) verschlüsselt. TPM brauchst du evtl. für Virtual TPM (wenn du innerhalb einer VM den TPM nutzen möchtest). Aber da bin ich mir auch nich 100% sicher.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden