Jump to content

Verschlüsselung von VMs unter VMware


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

mich würde interessieren, ob jemand schon VMs unter VMware verschlüsselt und wie das ganze abläuft, vor allem in Bezug auf den Key Management Server (KMS). Kann das wirklich nur ein 3rd Party Hersteller sein, von denen eine Handvoll auf der VMware Liste steht? 

Ziel ist es, die VMs zu verschlüsseln, den Master Key selber zu haben. Eine Windows PKI Umgebung wäre vorhanden.

 

Vielen Dank.

Grüße

Link zu diesem Kommentar

Ich kann hier nur auf die Doku verweisen:

 

https://docs.vmware.com/de/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-8D7D09AC-8579-4A33-9449-8E8BA49A3003.html

 

Wie immer: Was soll damit erreicht werden? Siehe Thema Bitlcoker bei Windows 2019?

Also welche potentiellen Sicherheitsprobleme will man lösen? 

In einem physikalisch sicheren RZ, halte ich die Verschlüsselung für ähnlich sinnfrei wie beim Storage. In die Regel ist das nur Aktionismus um irgendjemanden zu  sagen: Da schau, ist doch sicher weil verschlüsselt. 

Dem Hacker, der in einem laufenden Server eindringt, ist die Verschlüsselung  herzlich egal, weil die  transparent im Hintergrund geschieht.

 

-Zahni

Link zu diesem Kommentar

Moin,

 

wenn ihr sowas vorhabt, bindet als erstes den Dienstleister ein. Er muss das können und unterstützen. Er braucht die Hardware und Infrastruktur dafür. Wenn das der Fall ist, kann er euch auch genau sagen, was ihr tun müsst. Und dann braucht ihr eine exakte Vereinbarung über den Service Level.

 

Sowas macht man nicht auf eigene Faust.

 

Gruß, Nils

 

Link zu diesem Kommentar
9 minutes ago, NilsK said:

Moin,

 

wenn ihr sowas vorhabt, bindet als erstes den Dienstleister ein. Er muss das können und unterstützen. Er braucht die Hardware und Infrastruktur dafür. Wenn das der Fall ist, kann er euch auch genau sagen, was ihr tun müsst. Und dann braucht ihr eine exakte Vereinbarung über den Service Level.

 

Sowas macht man nicht auf eigene Faust.

 

Gruß, Nils

 

Hallo,

 

der DL weiß es nicht, bzw. hat darin bisher keine Erfahrung. Auch das ESAE Model ist unbekannt. 

Wichtig für uns ist, dass wir die Berechtigungen am Ende steuern können und eben die Hoheit über unsere (virtuellen) Systeme behalten.

 

Grüße

Link zu diesem Kommentar

Funktionieren wird es. Wir hatten das auch mal getestet (mit KMS Server virtuell auf den selben ESX Hosts (unverschlüsselt) -> Produktiv sollte man das aber so nicht machen).

Wo soll denn euer KMS laufen? Auch im RZ bei dem DL? Dann hat dieser darauf physikalischen Zugang. Da kommt es dann auf das KMS an, dass dieses trotz physikalischen Zugang sicher ist.

 

Bei einem solchen Konstrukt spielt Vertrauen zum DL eine große Rolle und man muss evtl. andere Maßnahmen (Rechtliche / Organisatorische) treffen.

Link zu diesem Kommentar

Moin,

 

für mich klingt es, als sei das dann der falsche DL, zumindest für das Thema. Wie soll er das ordentlich bereitstellen können, wenn er einen wichtigen Teil der Technik nicht kennt? Womit ich nicht gesagt habe, dass andere das besser können; es kann durchaus sein, dass die Technik zu exotisch ist, weil zu wenig nachgefragt (das weiß ich schlicht nicht).

 

Vielleicht sind auch eure Ideen bzw. Anforderungen noch nicht weit genug ausgearbeitet. Wenn ich sowas vorhätte und der DL könnte das nicht, würde ich die Kombination gar nicht erst weiter in Betracht ziehen.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...