VM-Verschlüsselungsaufgaben sind nur in Umgebungen mit vCenter Server möglich. Zusätzlich muss für die meisten Verschlüsselungsaufgaben bei dem ESXi-Host der Verschlüsselungsmodus aktiviert sein. Der Benutzer, der diese Aufgaben durchführt, muss über die entsprechenden Berechtigungen verfügen. Eine Gruppe von Berechtigungen für Kryptografievorgänge ermöglicht eine detaillierte Steuerung. Wenn bei Verschlüsselungsaufgaben für virtuelle Maschinen ein Wechsel in den Hostverschlüsselungsmodus erforderlich ist, sind zusätzliche Berechtigungen erforderlich.
Verwenden von Kryptografieberechtigungen und ‑rollen
- Fügen Sie Berechtigungen für Kryptografievorgänge hinzu.
Sie können die Rolle Kein Kryptografie-Administrator vCenter Server-Administratoren zuweisen, die die Berechtigungen Kryptografievorgänge nicht benötigen.
Um den Handlungsspielraum der Benutzer weiter einzuschränken, können Sie die Rolle Kein Kryptografie-Administrator klonen und eine benutzerdefinierte Rolle erstellen, die nur bestimmte Berechtigungen der Kryptografievorgänge umfasst. Sie können beispielsweise eine Rolle erstellen, die Benutzern das Verschlüsseln virtueller Maschinen erlaubt, das Entschlüsseln jedoch nicht. Weitere Informationen hierzu finden Sie unter Verwenden von vCenter Server-Rollen zum Zuweisen von Rechten.
Was ist der Hostverschlüsselungsmodus?
Der Hostverschlüsselungsmodus entscheidet darüber, ob ein ESXi-Host bereit ist, kryptografisches Material zum Verschlüsseln virtueller Maschinen und virtueller Festplatten zu akzeptieren. Bevor Kryptografievorgänge auf einem Host stattfinden können, muss der Verschlüsselungsmodus aktiviert werden. Der Hostverschlüsselungsmodus wird häufig automatisch festgelegt, wenn er benötigt wird. Sie können ihn jedoch explizit festlegen. Sie können den aktuellen Hostverschlüsselungsmodus über den vSphere Client oder die vSphere API festlegen.
Wenn der Hostverschlüsselungsmodus aktiviert ist, installiert vCenter Server auf dem Host einen Hostschlüssel, der sicherstellt, dass der Host in kryptografischer Hinsicht „sicher“ ist. Nachdem der Hostschlüssel installiert wurde, können andere Kryptografievorgänge ablaufen, einschließlich des Abrufens von Schlüsseln aus dem Schlüsselanbieter und deren Weitergabe an die ESXi-Hosts seitens vCenter Server.
Im „sicheren“ Modus werden die Core-Dumps von Benutzer-Worlds (d. h. hostd) und verschlüsselten virtuellen Maschinen verschlüsselt. Die Core-Dumps von nicht verschlüsselten virtuellen Maschinen werden nicht verschlüsselt.
Weitere Informationen zu verschlüsselten Core-Dumps und deren Verwendung seitens des technischen Supports von VMware finden Sie im VMware Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2147388.
Eine Anleitung dafür finden Sie in Explizites Aktivieren des Hostverschlüsselungsmodus.
Nach dem Festlegen des Hostverschlüsselungsmodus ist dessen einfache Deaktivierung nicht mehr möglich. Weitere Informationen hierzu finden Sie unter Deaktivieren des Hostverschlüsselungsmodus mithilfe der API.
Es werden automatische Änderungen vorgenommen, wenn Verschlüsselungsvorgänge versuchen, den Hostverschlüsselungsmodus festzulegen. Angenommen, Sie möchten einem eigenständigen Host eine verschlüsselte virtuelle Maschine hinzufügen. Der Hostverschlüsselungsmodus ist nicht festgelegt. Wenn Sie über die erforderlichen Berechtigungen auf dem Host verfügen, wird der Verschlüsselungsmodus automatisch festgelegt.
Angenommen, ein Cluster umfasst die drei ESXi-Hosts A, B und C. Sie erstellen eine verschlüsselte virtuelle Maschine auf Host A. Was daraufhin geschieht, hängt von mehreren Faktoren ab.
- Wenn für die Hosts A, B und C der Hostverschlüsselungsmodus bereits festgelegt ist, benötigen Sie nur die Berechtigungen , um die virtuelle Maschine zu erstellen.
- Wenn für die Hosts A und B die Hostverschlüsselung festgelegt ist und für C nicht, geht das System wie folgt vor.
- Nehmen wir an, dass Sie auf jedem Host über die Berechtigungen und verfügen. In diesem Fall legt der Verschlüsselungsvorgang den Hostverschlüsselungsmodus auf Host C fest und überträgt den Schlüssel an jeden Host im Cluster.
In diesem Fall können Sie die Hostverschlüsselung auf Host C auch explizit festlegen.
- Angenommen, Sie verfügen auf der virtuellen Maschine bzw. dem VM-Ordner nur über die Berechtigungen . In diesem Fall gelingt die Erstellung der virtuellen Maschine und der Schlüssel steht auf Host A und Host B zur Verfügung. Host C bleibt für die Verschlüsselung deaktiviert und verfügt nicht über den Schlüssel der virtuellen Maschine.
- Nehmen wir an, dass Sie auf jedem Host über die Berechtigungen und verfügen. In diesem Fall legt der Verschlüsselungsvorgang den Hostverschlüsselungsmodus auf Host C fest und überträgt den Schlüssel an jeden Host im Cluster.
- Wenn der Hostverschlüsselungsmodus für keinen der Hosts festgelegt ist und Sie auf Host A über die Berechtigungen verfügen, wird der Hostverschlüsselungsmodus auf diesem Host durch den Prozess zum Erstellen der virtuellen Maschine festgelegt. Andernfalls tritt bei den Hosts B und C ein Fehler auf.
- Sie können auch die vSphere API verwenden, um den Verschlüsselungsmodus eines Clusters auf „Aktivierung erzwingen“ festzulegen. Mit „Aktivierung erzwingen“ wird erreicht, dass alle Hosts im Cluster in kryptografischer Hinsicht „sicher“ sind, d. h., vCenter Server hat einen Hostschlüssel auf dem Host installiert. Weitere Informationen hierzu finden Sie unter Programmierhandbuch zum vSphere Web Services SDK.
Festplattenspeicheranforderungen beim Verschlüsseln virtueller Maschinen
Zur Verschlüsselung einer virtuellen Maschine ist im Vergleich zum bisherigen Speicherbedarf mindestens der doppelte Speicherplatz nötig.
