Seit vSphere 6.5 lassen sich virtuelle Maschinen nicht nur verschlüsselt speichern, sondern so auch live auf andere Hosts migrieren. Obwohl sich diese Funktion relativ einfach einsetzen lässt, sollte man ihre Funktionsweise verstehen, um unliebsame Überraschungen zu vermeiden.
Zwar wird vMotion-Traffic bei vSphere über einen speziellen VMKernel-Adapter abgewickelt, den man wahlweise durch eine geeignete physische Infrastruktur (separate Switches und dedizierte Uplink-Adapter) oder durch Verwendung von VLANs in einem eigenen Layer-2-Segment und Layer-3-Netzwerk platzieren sollte. vMotion-Traffic ist aber bis einschließlich vSphere 6 nicht verschlüsselt.
Höhere Sicherheit für erweiterte VM-Migration erforderlich
Mit der Möglichkeit, vMotion mittels Enhanced vMotion zwischen vCentern bzw. in Multi-Site-Umgebungen oder mit Long Distance vMotion auch zwischen weit entfernten Rechenzentren über das WAN einzusetzen, steigt auch der Bedarf für die Verschlüsselung bei vMotion.
Das gilt auch für hybride Cloud-Umgebungen (vCloud Air, IBM Softlayer, Oracle/Ravello oder VMware Cloud on AWS), wo Workloads in die Public Cloud gelangen. Die Verschlüsselung gewährleistet dann, dass die migrierten Daten intakt und unverändert auf dem Ziel-Host ankommen.
Wie Encrypted vMotion arbeitet
Eine Besonderheit von Encrypted vMotion besteht darin, dass die Ver- und Entschlüsselung auf VM-Ebene erfolgt. Encrypted vMotion verschlüsselt mithin nicht die Netzwerkverbindung, sondern die virtuelle Maschine. Das vermeidet von vorne herein Probleme bei einer Änderung der Netzwerkkonfiguration oder bei der Zertifikats-Veraltung.
Für Encrypted vMotion erstellt vCenter (genauer: der vCenter KMS-Client) jeweils zufällige 256-Bit-Schlüssel sowie einen zufälligen 64-Bit-Einmal-Code und übertragt Code und Schlüssel auf den Quell- und Ziel-Host. Das Gastsystem hat keinen Zugriff auf die Schlüssel.
Der Quell-Host nutzt Schlüssel und Code zur Verschlüsselung der virtuellen Maschine, der Ziel-Host zum Entschlüsseln. Potenzielle Angreifer können den vMotion-Datenstrom aufgrund des zufälligen Einmal-Codes weder auslesen noch manipulieren.