Wie vSphere Virtual Machine Encryption Ihre Umgebung schützt

Mit vSphere Virtual Machine Encryption können Sie verschlüsselte virtuelle Maschinen erstellen und vorhandene virtuelle Maschinen verschlüsseln. Da alle Dateien der virtuellen Maschine, die vertrauliche Informationen enthalten, verschlüsselt werden, ist die virtuelle Maschine geschützt. Nur Administratoren mit Berechtigungen zum Verschlüsseln können Verschlüsselungs- und Entschlüsselungsaufgaben durchführen.

Verwendete Schlüssel

Für die Verschlüsselung werden zwei Arten von Schlüsseln verwendet.

Der ESXi-Host generiert und verwendet interne Schlüssel zum Verschlüsseln von virtuellen Maschinen und Festplatten. Diese Schlüssel werden als DEKs (Data Encryption Keys, Datenverschlüsselungsschlüssel) verwendet und sind XTS-AES-256-Schlüssel.
vCenter Server fordert Schlüssel aus dem KMS an. Diese Schlüssel werden als „Schlüsselverschlüsselungsschlüssel“ (Key Encryption Key – KEK) verwendet und sind AES-256-Schlüssel. vCenter Server speichert nur die ID jedes KEK, nicht jedoch den Schlüssel selbst.
ESXi verwendet den KEK zum Verschlüsseln der internen Schlüssel und speichert den verschlüsselten internen Schlüssel auf der Festplatte. ESXi speichert den KEK nicht auf der Festplatte. Wenn ein Host neu gestartet wird, fordert vCenter Server den KEK mit der entsprechenden ID beim KMS an und macht ihn für ESXi verfügbar. ESXi kann dann die internen Schlüssel nach Bedarf entschlüsseln.

Was wird verschlüsselt?

vSphere Virtual Machine Encryption unterstützt die Verschlüsselung von Dateien der virtuellen Maschine, von virtuellen Festplattendateien und von Core-Dump-Dateien.

Dateien der virtuellen Maschine: Die meisten Dateien der virtuellen Maschine werden verschlüsselt, insbesondere Gastdaten, die nicht in der VMDK-Datei gespeichert werden. Zu diesen Dateien gehören unter anderen die NVRAM-, VSWP- und VMSN-Dateien. Der Schlüssel, den vCenter Server aus dem KMS abruft, entsperrt ein verschlüsseltes Paket in der VMX-Datei, die interne Schlüssel und andere Geheimschlüssel enthält.; Wenn Sie den vSphere Client zum Erstellen einer verschlüsselten virtuellen Maschine verwenden, können Sie virtuelle Festplatten getrennt von Dateien der virtuellen Maschine verschlüsseln und entschlüsseln. Wenn Sie vSphere Web Client zum Erstellen einer verschlüsselten virtuellen Maschine verwenden, werden standardmäßig alle virtuellen Festplatten verschlüsselt. Für andere Verschlüsselungsaufgaben, wie z. B. das Verschlüsseln einer vorhandenen virtuellen Maschine, können Sie für beide Clients virtuelle Festplatten getrennt von Dateien der virtuellen Maschine verschlüsseln und entschlüsseln.
Hinweis: Eine verschlüsselte virtuelle Festplatte kann nicht einer unverschlüsselten virtuellen Maschine zugeordnet werden.
Virtuelle Festplattendateien: Daten in einer Datei einer verschlüsselten virtuellen Festplatte (VMDK-Datei) werden nie in Klartext in den Speicher oder auf eine physische Festplatte geschrieben und nie in Klartext über das Netzwerk übertragen. Die VMDK-Deskriptordatei besteht zum größten Teil aus Klartext, enthält jedoch eine Schlüssel-ID für den KEK und den internen Schlüssel (DEK) im verschlüsselten Paket.; Sie können die vSphere API zum Durchführen einer flachen Verschlüsselung mit einem neuen KEK oder einer tiefen Neuverschlüsselung mit einem neuen internen Schlüssel verwenden.

Core-Dumps: Core-Dumps auf einem ESXi-Host, auf dem der Verschlüsselungsmodus aktiviert ist, werden immer verschlüsselt. Weitere Informationen hierzu finden Sie unter vSphere VM-Verschlüsselung und Core-Dumps.
Hinweis: Core-Dumps auf dem vCenter Server-System werden nicht verschlüsselt. Schützen Sie den Zugriff auf das vCenter Server-System.

Hinweis: Informationen zu Einschränkungen bezüglich Geräten und Funktionen, mit denen vSphere Virtual Machine Encryption interagieren kann, finden Sie unter Interoperabilität bei der Verschlüsselung von virtuellen Maschinen.

Was wird nicht verschlüsselt?

Einige der Dateien, die einer virtuellen Maschine zugeordnet sind, werden nicht oder teilweise verschlüsselt.

Protokolldateien: Protokolldateien werden nicht verschlüsselt, da sie keine vertraulichen Daten enthalten.

Konfigurationsdateien der virtuellen Maschine: Die meisten Informationen zur Konfiguration der virtuellen Maschine (gespeichert in den VMX- und VMSD-Dateien) werden nicht verschlüsselt.

Deskriptordatei der virtuellen Festplatte: Zur Unterstützung der Festplattenverwaltung ohne Schlüssel werden die meisten Deskriptordateien der virtuellen Festplatte nicht verschlüsselt.

Wer darf kryptografische Vorgänge durchführen?

Nur Benutzer die über Berechtigungen für Kryptografische Vorgänge verfügen, können kryptografische Vorgänge durchführen. Die Berechtigungen sind fein unterteilt. Weitere Informationen hierzu finden Sie unter Rechte für Verschlüsselungsvorgänge. Die standardmäßige Systemrolle „Administrator“ umfasst alle Berechtigungen für Kryptografische Vorgänge. Eine neue Rolle, „Kein Kryptografie-Administrator“ unterstützt alle Administratorberechtigungen außer den Berechtigungen für Kryptografische Vorgänge.

Sie können zusätzliche benutzerdefinierte Rollen erstellen, um beispielsweise zuzulassen, dass eine Gruppe von Benutzern virtuelle Maschinen verschlüsselt, zugleich aber zu verhindern, dass diese Benutzer virtuelle Maschinen entschlüsseln.

Wie können kryptografische Vorgänge durchgeführt werden?

Der vSphere Client und der vSphere Web Client bieten Unterstützung für zahlreiche kryptografische Vorgänge. Für andere Aufgaben können Sie die vSphere API verwenden.

Tabelle 1. Schnittstellen für das Durchführen von kryptografischen Vorgängen
Schnittstelle	Vorgänge	Informationen
vSphere Client oder vSphere Web Client	Erstellen einer verschlüsselten virtuellen Maschine Verschlüsseln und Entschlüsseln virtueller Maschinen	Dieses Handbuch.
vSphere Web Services SDK	Erstellen einer verschlüsselten virtuellen Maschine Verschlüsseln und Entschlüsseln virtueller Maschinen Durchführen einer tiefen Neuverschlüsselung einer virtuellen Maschine (verwenden eines anderen DEK) Durchführen einer flachen Neuverschlüsselung einer virtuellen Maschine (verwenden eines anderen KEK)	Programmierhandbuch zum vSphere Web Services SDK VMware vSphere API-Referenz
crypto-util	Entschlüsseln verschlüsselter Core-Dumps, Prüfen, ob Dateien verschlüsselt sind, und Durchführen anderer Verwaltungsaufgaben direkt auf dem ESXi-Host	Befehlszeilen-Hilfe. vSphere VM-Verschlüsselung und Core-Dumps