Suchen

Einstieg in die VM-Verschlüsselung Verschlüsselung in VMware-Umgebungen

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit dem Key Management Server in VMware-Umgebungen können Unternehmen VMs verschlüsseln, ohne dass ESXi-Hosts selbst Schlüssel verwalten müssen. Was es dabei zu beachten gilt, zeigen wir im Artikel und der zugehörigen Bilderstrecke.

Verschlüsselung ist auch für virtuelle Maschinen ein unverzichtbares Sicherheitselement.
Verschlüsselung ist auch für virtuelle Maschinen ein unverzichtbares Sicherheitselement.
(Bild: gemeinfrei / Pixabay )

Ein externer Key Management Server (KMS) ist der zentrale Bestandteil bei der Verschlüsselung von VMs und virtuellen Festplatten in einer vSphere-Umgebung mit vCenter. In einer idealen Umgebung sollte nicht nur ein Cluster mit ESXi-Servern im Einsatz sein, der über vCenter zentral verwaltet wird, sondern auch KMS selbst wird über einen Cluster bereitgestellt.

Die VM-Verschlüsselung in vSphere unterstützt KMIP-konforme (Key Management Interoperability Protocol) Key-Management-Server. Die Verschlüsselung erfolgt auf Basis der vSphere-Hosts (ESXi). Die Gastmaschinen und das virtuelle Betriebssystem haben mit der Verschlüsselung also nichts zu tun.

Bildergalerie
Bildergalerie mit 8 Bildern

Einstieg in die VM-Verschlüsselung mit einem KMS

Durch den Einsatz eines Key Management Servers (KMS) in VMware-Infrastrukturen, können die Schlüssel für die Verschlüsselung von VMs zentral verwaltet werden, ohne dass ESXi-Hosts in diesem Bereich alleine für sich Aufgaben übernehmen, oder Verschlüsselungsdaten und -Schlüssel verwalten müssen.

Während der Übertragung von VMs mit vMotion zwischen Hosts der Infrastruktur, oder beim Betreiben einer VM auf den Hosts, findet eine fortlaufende Verschlüsselung statt, die der KMS steuert. Der Schlüssel wird durch vCenter beim KMS abgerufen und an den Host weitergegeben. Die Hosts speichern den Schlüssel aber nicht auf den Festplatten und Datenspeicher, sondern nur im Arbeitsspeicher. Bei einem Neustart werden diese Daten wieder gelöscht. In diesem Fall fordert vCenter den Schlüssel beim KMS erneut an, und stellt ihn dem ESXi wieder zur Verfügung.

Key Management Server werden nicht durch VMware zur Verfügung gestellt, sondern von Drittanbietern. Hier muss natürlich auf ein System gesetzt werden, das kompatibel zu der jeweiligen eingesetzten VMware-Umgebung ist. Bekannte Beispiele sind Dell EMC CloudLink, Fujitsu ETERNUS, Gemalto SafeNet Key Secure oder Produkte von IBM. Vor dem Einsatz eines KMS sollte daher dessen Kompatibilität mit VMware überprüft werden. Alle kompatiblen Produkte finden sich im „VMware Compatibility Guide“.

vCenter, ESXi und KMS

Bei der Verwendung der VM-Verschlüsselung in ESXi ab Version 6.5 nutzen Sie zunächst vCenter, um die ESXi-Hosts zentral zu verwalten. Dabei stellt vCenter auch die Verbindung zum KMS her. Die verschlüsselten VMs werden auf den ESXi-Hosts betrieben, die über vCenter gesteuert werden.

Bei der Verschlüsselung erhalten die ESXi-Hosts einen Schlüssel durch den KMS, wenn auf den Hosts verschlüsselte VMs betrieben werden. Die Schlüssel sind für jeden einzelnen ESXi-Hosts in der Infrastruktur eindeutig. Die Schlüssel für die VMs werden ebenfalls durch vCenter beim KMS angefordert und weitergeleitet. Damit virtuelle Server und die virtuellen Festplatten verschlüsselt werden können wird ein Data Encryption Key (DEK) durch den Host erstellt und mit dem Key Encrypting Key (KEK) des KMS verschlüsselt. Mit diesen Schlüsseln werden die Konfigurationsdateien der VMs und deren virtueller Festplatten verschlüsselt.

Der KEK, den vCenter beim KMS abfragt, kann auch mit vMotion verwendet werden. Bei der Übertragung einer VM zu einem anderen Host in einem anderen Cluster, wird der KEK für die VM durch vCenter erneut abgefragt und auf dem neuen Host ebenfalls im Arbeitsspeicher abgelegt.

KMS einrichten

Im vSphere-Client ist der Menüpunkt „Configure“ zu finden, über den bei „More“ die Option „Key Management Server“ zu finden ist. Über diesen Bereich erfolgt die Verbindung zwischen vCenter und dem KMS. Über „Add“ kann eine Verbindung zum KMS aufgebaut werden. Danach öffnet sich ein Assistent, mit dem die Anbindung durchgeführt werden kann. Zunächst wird „Create new cluster“ ausgewählt und die Option „Make this the default cluster“ Anschließend werden im Fenster die Verbindungsdaten zum KMS angegeben. Wurden die Daten korrekt eingegeben, kann im nächsten Fenster mit „Trust“ die Verbindung hergestellt werden. Nach dem erfolgreichen Verbindungsaufbau wird der KMS im Fenster angezeigt.

Der nächste Schritt besteht darin, den KMS so zu konfigurieren, dass er vCenter vertraut. Dazu wird im Fenster die Schaltfläche „Make KMS Trust vCenter“ angezeigt. Hierüber startet ein Assistent, mit dem der KMS mit vCenter verbunden werden kann. Dazu steht die Möglichkeit zur Verfügung mit dem vCenter Root CA Certificate zu arbeiten, mit dem vCenter Certificate oder mit Zertifikaten des KMS. Im Assistenten können die Dateien des Zertifikates hochgeladen werden, also das jeweilige Zertifikat und der private Schlüssel. Mit „Establish Trust“ wird der Verbindungsaufbau hergestellt. Der Status ist im Fenster zu sehen.

Erstellen Sie im Client eine verschlüsselte VM, dann werden auch die dazugehörigen virtuellen Festplatten verschlüsselt. Natürlich können Sie auch jederzeit weitere virtuelle Festplatten hinzufügen, und deren Verschlüsselungsrichtlinie anpassen. Über das Kontextmenü von VMs rufen Sie den Menüpunkt „VM-Richtlinien“ auf und klicken auf „VM-Speicherrichtlinie bearbeiten“. Wählen Sie bei „VM-Speicherrichtlinie“ den Menüpunkt „VM Encryption Policy“ auf und klicken Sie auf OK.

(ID:46850219)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist