Mit vSphere Virtual Machine Encryption können Sie verschlüsselte virtuelle Maschinen erstellen und vorhandene virtuelle Maschinen verschlüsseln. Da alle Dateien der virtuellen Maschine, die vertrauliche Informationen enthalten, verschlüsselt werden, ist die virtuelle Maschine geschützt. Nur Administratoren mit Berechtigungen zum Verschlüsseln können Verschlüsselungs- und Entschlüsselungsaufgaben durchführen.

Verwendete Schlüssel

Für die Verschlüsselung werden zwei Arten von Schlüsseln verwendet.

  • Der ESXi-Host generiert und verwendet interne Schlüssel zum Verschlüsseln von virtuellen Maschinen und Festplatten. Diese Schlüssel werden als DEKs verwendet und sind XTS-AES-256-Schlüssel.

  • vCenter Server fordert Schlüssel aus dem KMS an. Diese Schlüssel werden als „Schlüsselverschlüsselungsschlüssel“ (Key Encryption Key – KEK) verwendet und sind AES-256-Schlüssel. vCenter Server speichert nur die ID jedes KEK, nicht jedoch den Schlüssel selbst.

  • ESXi verwendet den KEK zum Verschlüsseln der internen Schlüssel und speichert den verschlüsselten internen Schlüssel auf der Festplatte. ESXi speichert den KEK nicht auf der Festplatte. Wenn ein Host neu gestartet wird, fordert vCenter Server den KEK mit der entsprechenden ID beim KMS an und macht ihn für ESXi verfügbar. ESXi kann dann die internen Schlüssel nach Bedarf entschlüsseln.

Was wird verschlüsselt?

vSphere Virtual Machine Encryption unterstützt die Verschlüsselung von Dateien der virtuellen Maschine, von virtuellen Festplattendateien und von Core-Dump-Dateien.

Dateien der virtuellen Maschine

Die meisten Dateien der virtuellen Maschine werden verschlüsselt, insbesondere Gastdaten, die nicht in der VMDK-Datei gespeichert werden. Zu diesen Dateien gehören unter anderen die NVRAM-, VSWP- und VMSN-Dateien. Der Schlüssel, den vCenter Server aus dem KMS abruft, entsperrt ein verschlüsseltes Paket in der VMX-Datei, die interne Schlüssel und andere Geheimschlüssel enthält.

Wenn Sie vSphere Web Client zum Erstellen einer verschlüsselten virtuellen Maschine verwenden, werden standardmäßig alle virtuellen Festplatten verschlüsselt. Für andere Verschlüsselungsaufgaben wie das Verschlüsseln einer vorhandenen virtuellen Maschine können Sie virtuelle Festplatten getrennt von Dateien der virtuellen Maschine verschlüsseln und entschlüsseln.

Anmerkung:

Eine verschlüsselte virtuelle Festplatte kann nicht einer unverschlüsselten virtuellen Maschine zugeordnet werden.

Virtuelle Festplattendateien

Daten in einer Datei einer verschlüsselten virtuellen Festplatte (VMDK-Datei) werden nie in Klartext in den Speicher oder auf eine physische Festplatte geschrieben und nie in Klartext über das Netzwerk übertragen. Die VMDK-Deskriptordatei besteht zum größten Teil aus Klartext, enthält jedoch eine Schlüssel-ID für den KEK und den internen Schlüssel (DEK) im verschlüsselten Paket.

Sie können die vSphere API zum Durchführen einer flachen Verschlüsselung mit einem neuen KEK oder einer tiefen Neuverschlüsselung mit einem neuen internen Schlüssel verwenden.

Core-Dumps

Core-Dumps auf einem ESXi-Host, auf dem der Verschlüsselungsmodus aktiviert ist, werden immer verschlüsselt. Weitere Informationen hierzu finden Sie unter vSphere VM-Verschlüsselung und Core-Dumps.

Anmerkung:

Core-Dumps auf dem vCenter Server-System werden nicht verschlüsselt. Stellen Sie sicher, dass der Zugriff auf das vCenter Server-System geschützt ist.

Anmerkung:

Informationen zu Einschränkungen bezüglich Geräten und Funktionen, mit denen vSphere Virtual Machine Encryption interagieren kann, finden Sie unter Interoperabilität bei der Verschlüsselung von virtuellen Maschinen.

Was wird nicht verschlüsselt?

Einige der Dateien, die einer virtuellen Maschine zugeordnet sind, werden nicht oder teilweise verschlüsselt.

Protokolldateien

Protokolldateien werden nicht verschlüsselt, da sie keine vertraulichen Daten enthalten.

Konfigurationsdateien der virtuellen Maschine

Die meisten Informationen zur Konfiguration der virtuellen Maschine (gespeichert in den VMX- und VMSD-Dateien) werden nicht verschlüsselt.

Deskriptordatei der virtuellen Festplatte

Zur Unterstützung der Festplattenverwaltung ohne Schlüssel werden die meisten Deskriptordateien der virtuellen Festplatte nicht verschlüsselt.

Wer darf kryptografische Vorgänge durchführen?

Nur Benutzer die über Berechtigungen für Kryptografische Vorgänge verfügen, können kryptografische Vorgänge durchführen. Die Berechtigungen sind fein unterteilt. Weitere Informationen hierzu finden Sie unter Rechte für Verschlüsselungsvorgänge. Die standardmäßige Systemrolle „Administrator“ umfasst alle Berechtigungen für Kryptografische Vorgänge. Eine neue Rolle, „Kein Kryptografie-Administrator“ unterstützt alle Administratorberechtigungen außer den Berechtigungen für Kryptografische Vorgänge.

Sie können zusätzliche benutzerdefinierte Rollen erstellen, um beispielsweise zuzulassen, dass eine Gruppe von Benutzern virtuelle Maschinen verschlüsselt, zugleich aber zu verhindern, dass diese Benutzer virtuelle Maschinen entschlüsseln.

Wie können kryptografische Vorgänge durchgeführt werden?

Der vSphere Web Client unterstützt viele der kryptografischen Vorgänge. Für andere Aufgaben können Sie die vSphere API verwenden.

Tabelle 1. Schnittstellen für das Durchführen von kryptografischen Vorgängen

Schnittstelle

Vorgänge

Informationen

vSphere Web Client

Erstellen einer verschlüsselten virtuellen Maschine

Verschlüsseln und Entschlüsseln virtueller Maschinen

Dieses Handbuch.

vSphere Web Services SDK

Erstellen einer verschlüsselten virtuellen Maschine

Verschlüsseln und Entschlüsseln virtueller Maschinen

Durchführen einer tiefen Neuverschlüsselung einer virtuellen Maschine (verwenden eines anderen DEK)

Durchführen einer flachen Neuverschlüsselung einer virtuellen Maschine (verwenden eines anderen KEK)

Programmierhandbuch zum vSphere Web Services SDK

VMware vSphere API-Referenz

crypto-util

Entschlüsseln verschlüsselter Core-Dumps, Prüfen, ob Dateien verschlüsselt sind, und Durchführen anderer Verwaltungsaufgaben direkt auf dem ESXi-Host

Befehlszeilen-Hilfe.

vSphere VM-Verschlüsselung und Core-Dumps