Die folgenden empfohlenen Vorgehensweisen für die Verschlüsselung von virtuellen Maschinen sollten zwecks Vermeidung späterer Probleme befolgt werden, zum Beispiel wenn Sie ein vm-support-Paket erstellen.
Allgemeine empfohlene Vorgehensweisen
Befolgen Sie diese allgemeinen empfohlenen Vorgehensweisen, um Probleme zu vermeiden.
- Verschlüsseln Sie keine virtuellen vCenter Server Appliance-Maschinen.
- Wenn Ihr ESXi-Host fehlschlägt, rufen Sie schnellstmöglich das Support-Paket ab. Sie benötigen den Hostschlüssel zum Generieren eines Support-Pakets mit einem Kennwort oder zum Entschlüsseln des Core-Dumps. Wenn der Host neu gestartet wird, ändert sich der Hostschlüssel möglicherweise. Ist dies der Fall, können Sie mit diesem Hostschlüssel kein Support-Paket mehr mit einem Kennwort generieren bzw. keine Core-Dumps im Support-Paket entschlüsseln.
- Verwalten Sie KMS-Clusternamen sehr sorgfältig. Wenn sich der KMS-Clustername eines bereits verwendeten KMS ändert, wechseln VMs, die mit Schlüsseln aus diesem KMS verschlüsselt wurden, beim Einschalten oder bei der Registrierung in einen gesperrten Zustand. Entfernen Sie in diesem Fall den KMS vom vCenter Server und fügen Sie ihn mit dem Clusternamen hinzu, den Sie anfänglich verwendet haben.
- Bearbeiten Sie keine VMX-Dateien und VMDK-Deskriptordateien. Diese Dateien enthalten das Verschlüsselungspaket. Möglicherweise kann die virtuelle Maschine nach Ihren Änderungen nicht mehr wiederhergestellt werden und dieses Wiederherstellungsproblem kann nicht behoben werden.
- Der Verschlüsselungsprozess verschlüsselt Daten auf dem Host, bevor sie in den Speicher geschrieben werden. Backend-Speicherfunktionen wie beispielsweise Deduplizierung und Kompression sind für verschlüsselte virtuelle Maschinen möglicherweise nicht effektiv. Ziehen Sie bei der Verbindung der vSphere VM-Verschlüsselung Speicherausgleiche in Betracht.
- Die Verschlüsselung ist CPU-intensiv. Mit AES-NI wird die Verschlüsselungsleistung deutlich gesteigert. Aktivieren Sie AES-NI im BIOS.
Empfohlene Vorgehensweisen für verschlüsselte Core-Dumps
Befolgen Sie diese empfohlenen Vorgehensweisen, damit keine Probleme auftreten, wenn Sie einen Core-Dump zwecks Problemdiagnose untersuchen möchten.
- Erstellen Sie eine Richtlinie bezüglich Core-Dumps. Core-Dumps sind verschlüsselt, da sie vertrauliche Informationen wie etwa Schlüssel enthalten können. Wenn Sie einen Core-Dump entschlüsseln, gehen Sie sehr sorgfältig mit den enthaltenen vertraulichen Informationen um. ESXi- Core-Dumps können Schlüssel für den ESXi-Host und die sich darauf befindlichen virtuellen Maschinen enthalten. Sie sollten den Hostschlüssel ändern und verschlüsselte virtuelle Maschinen erneut verschlüsseln, nachdem Sie einen Core-Dump entschlüsselt haben. Beide Aufgaben können mit der vSphere API durchgeführt werden.
Weitere Informationen finden Sie unter vSphere VM-Verschlüsselung und Core-Dumps.
- Verwenden Sie immer ein Kennwort, wenn Sie ein vm-support-Paket erfassen. Sie können das Kennwort angeben, wenn Sie das Support-Paket vom vSphere Client generieren oder den vm-support-Befehl verwenden.
Das Kennwort verschlüsselt Core-Dumps erneut, die interne Schlüssel zur Verwendung von auf diesem Kennwort basierenden Schlüsseln verwenden. Sie können das Kennwort zu einem späteren Zeitpunkt zum Entschlüsseln und Verschlüsseln von Core-Dumps verwenden, die möglicherweise im Support-Paket enthalten sind. Nicht verschlüsselte Core-Dumps und Protokolle sind bei Verwendung der Kennwortoption nicht betroffen.
- Das von Ihnen während der vm-support-Paketerstellung angegebene Kennwort wird in vSphere-Komponenten nicht dauerhaft gespeichert. Sie müssen Ihre Kennwörter für Support-Pakete selbst speichern bzw. diese notieren.
- Bevor Sie den Hostschlüssel ändern, generieren Sie ein vm-support-Paket mit einem Kennwort. Sie können das Kennwort später für den Zugriff auf alle Core-Dumps verwenden, die ggf. mit dem alten Hostschlüssel verschlüsselt wurden.
Empfohlene Vorgehensweisen bei der Verwaltung des Lebenszyklus von Schlüsseln
- Sie müssen die entsprechenden Richtlinien erstellen und anwenden, die eine KMS-Verfügbarkeit sicherstellen.
Wenn der KMS nicht verfügbar ist, sind VM-Vorgänge nicht möglich, bei denen vCenter Server den Schlüssel vom KMS abrufen muss. Laufende virtuelle Maschinen werden daher fortwährend ausgeführt und Sie können sie ausschalten, einschalten und neu konfigurieren. Sie können eine virtuelle Maschine jedoch nicht auf einen Host verlagern, der nicht über die Schlüsselinformationen verfügt.
Die meisten KMS-Lösungen beinhalten HA (High Availability)-Funktionen. Sie können den vSphere Client oder die API verwenden, um einen KMS-Cluster und die verbundenen KMS-Server anzugeben.
- Sie müssen die Schlüssel speichern und eine Standardisierung durchführen, wenn sich die Schlüssel für vorhandene virtuelle Maschinen nicht im aktiven Zustand befinden.
Der KMIP-Standard definiert die folgenden Zustände für Schlüssel.
- Voraktiv
- Aktiv
- Deaktiviert
- Manipuliert
- Entfernt
- Entfernt Manipuliert
Bei der Verschlüsselung der virtuellen vSphere-Maschinen werden nur aktive Schlüssel verwendet. Wenn ein Schlüssel voraktiv ist, wird dieser über die Funktion „Verschlüsselung der virtuellen vSphere-Maschine“ aktiviert. Wenn der Schlüsselzustand „Deaktiviert“, „Manipuliert“, „Entfernt“ oder „Entfernt Manipuliert“ ist, können Sie eine virtuelle Maschine oder Festplatte nicht mit diesem Schlüssel verschlüsseln.
Für Schlüssel, die andere Zustände aufweisen, werden virtuelle Maschinen unter Verwendung dieser Schlüssel weiterhin ausgeführt. Ob ein Klon- oder Migrationsvorgang erfolgreich ist, hängt davon ab, ob sich der Schlüssel bereits auf dem Host befindet.- Wenn sich der Schlüssel auf einem Zielhost befindet, wird der Vorgang erfolgreich ausgeführt, auch wenn der Schlüssel auf dem KMS nicht aktiv ist.
- Wenn sich die erforderlichen Schlüssel für die virtuellen Maschinen und die virtuellen Festplatten nicht auf dem Zielhost befinden, muss vCenter Server die Schlüssel vom KMS abrufen. Wenn es sich bei dem Schlüsselzustand um „Deaktiviert“, „Manipuliert“, „Entfernt“ oder „Entfernt Manipuliert“ handelt, zeigt vCenter Server eine Fehlermeldung an und der Vorgang wird nicht erfolgreich durchgeführt.
Ein Klon- oder Migrationsvorgang wird erfolgreich durchgeführt, wenn sich der Schlüssel bereits auf dem Host befindet. Der Vorgang schlägt fehl, wenn vCenter Server die Schlüssel vom KMS abruft.
Wenn ein Schlüssel nicht aktiv ist, führen Sie eine erneute Verschlüsselung unter Verwendung der API durch. Weitere Informationen finden Sie im Programmierhandbuch zum vSphere Web Services SDK.
Empfohlene Vorgehensweisen für das Sichern und Wiederherstellen
- Es werden nicht alle Sicherungsarchitekturen unterstützt. Weitere Informationen hierzu finden Sie unter Interoperabilität bei der Verschlüsselung von virtuellen Maschinen.
- Erstellen Sie Richtlinien für Wiederherstellungsvorgänge. Da die Sicherung immer auf Klartextdaten beruht, sollten Sie virtuelle Maschinen direkt nach Abschluss der Wiederherstellung verschlüsseln. Sie können angeben, dass die virtuelle Maschine als Teil des Wiederherstellungsvorgangs verschlüsselt wird. Wenn möglich, verschlüsseln Sie die virtuelle Maschine als Teil des Wiederherstellungsvorgangs, um die Offenlegung von vertraulichen Informationen zu vermeiden. Um die Verschlüsselungsrichtlinie für Festplatten zu ändern, die mit der virtuellen Maschine verbunden sind, ändern Sie die Speicherrichtlinie für diese Festplatte.
- Da die VM-Home-Dateien verschlüsselt sind, stellen Sie sicher, dass die Verschlüsselungsschlüssel zum Zeitpunkt der Wiederherstellung verfügbar sind.
Empfohlene Vorgehensweisen für die Leistung
- Die Verschlüsselungsleistung richtet sich nach der CPU- und Speicherkapazität.
- Die Verschlüsselung von vorhandenen virtuellen Maschinen nimmt mehr Zeit in Anspruch als die Verschlüsselung einer virtuellen Maschine bei deren Erstellung. Verschlüsseln Sie also eine virtuelle Maschine wenn möglich bei deren Erstellung.
Empfohlene Vorgehensweisen für Speicherrichtlinien
Details zur Anpassung von Speicherrichtlinien finden Sie in der vSphere-Speicher-Dokumentation.