Key Management Server (KMS) einrichten VMware-Verschlüsselung

Das Funktionsprinzip der Verschlüsslung auf Hypervisor-Level (VMware).

Die Verschlüsselung von VMs „in transit“ (vMotion) und „at rest“ erfordert vei VMware vSphere keine Ver­schlüsselungs­soft­ware in den VMs. Im gesamten Work­flow werden auf den ESXi-Hosts keine Schlüssel abgelegt, die kompro­mittiert werden könnten. Dafür muss der Nutzer aber einen Key Management Server (KMS) betreiben.

Die von VMware mit vSphere 6.5 eingeführte VM-Verschlüsselungs­architektur besteht aus drei Komponenten:

  1. Ein KMS ist ein externer Server, der Schlüssel für Dienste generiert und von einem Sicherheits­anbieter bereitgestellt wird.
  2. Der vCenter-Server kommuniziert mit einem KMS und fordert Schlüssel im Namen der ESXi-Hosts an.
  3. ESXi-Hosts führen verschlüsselte VMs aus.

Insgesamt sind drei Arten von Schlüsseln in den Prozess involviert:

  • Host-Keys sorgen dafür, dass Hosts krypto­grafisch sicher sind. Sie werden im Memory-Key-Cache eines im krypto­grafischen Modus betriebenen ESXi abgelegt. Um einen Host in den Verschlüsselungs­modus zu bringen, fordert vCenter beim erstmaligen Auftreten einer Ver­schlüsselungs­operation einen Key vom KMS an und sendet diesen an jeden Host im Cluster. Der Host installiert ihn dann im Memory-Key-Cache und aktiviert die Core-Dump-Verschlüsselung.
  • Der vCenter-Server fordert auch die VM-Keys vom KMS an und leitet sie an die Hosts bzw. Cluster weiter, ohne sie selbst zu speichern. Er merkt sich nur die jeweilige Key-ID. VM-Keys werden auch als Schlüssel­verschlüsselungs­schlüssel (KEK) bezeichnet.
    Dieser Schlüssel verbleibt bis zum Neustart eines Hosts im ESXi-Speicher, weshalb im Falle eines Systemabsturzes der jeweilige Core-Dump mit Hilfe des Host-Keys verschlüsselt wird. VM-Keys sind symmetrische AES-256-Schlüssel.
  • Den für jede kryptografische Operation benötigten Daten­verschlüsselungs­schlüssel (DEK), mit dem die virtuellen Maschinen nebst ihrer Festplatten kodiert werden, generiert jeder Hosts selbst. Er speichert den DEK, den er mit dem KEK verschlüsselt, im vmx-File der jeweiligen VM. Bei den Data Encryption Keys handelt es sich um symmetrische XTS-AES-256-Schlüssel.

Unterstützte KMS

Um die gesamte Umgebung für die Verschlüsselung virtueller Maschinen vorzubereiten, führt also kein Weg daran vorbei, einen KMS einrichten. Zulässige Systeme finden sich in der HCL. Das Portfolio ist dabei in den letzten Jahren deutlich erweitert worden.

Der Compatibility Guide von VMware gibt Auskunft über die unterstützten Key Management Server.

Unterstützt werden zum Beispiel Dell Cloud Link, Fujitsu Eternus SF KM, Gemalto SafeNet Key Secure, HyTrust KeyControl, IBM Security Key Lifecycle Manager, Thales eSecurity Vormetric Data Security Manager, Townsend Security Alliance Key Manager, Ultimaco ESKM oder Zettaset Key Manager.

KMIP und KMS

Der verwendete KMS muss mit KMIP 1.1 kompatibel sein. Hierbei handelt es sich um eine Standardsprache für die Verwaltung von Sicherheits­schlüsseln. Ein standard­konformer KMS bietet einen Schlüssel­verwaltungs­dienst für KMIP-Clients wie vCenter und kann mit einem KMIP-Proxy-Server konfiguriert werden.

Auf den mit KMIP 1.1 kompatiblen KMS wird in der Regel mittels IPv4 zugegriffen. Größeren Unter­nehmen empfiehlt VMware, den Service ausfallsicher in einem Cluster aus KMIP-basierten Schlüssel­verwaltungs-Servern zu betreiben, welche die Keys untereinander replizieren.

Kommunikation absichern

Der vCenter-Server speichert die KMS-Anmelde­informationen und verwaltet die zur Verschlüsselung verwendeten Keys anhand der UUID. Ferner ruft das vCenter bei Bedarf Schlüssel vom KMS ab und übergibt sie an die ESXi-Hosts.

Um die Kommunikation zwischen dem KMIP-Server (KMS) und dem KMIP-Client (vCenter-Server) zu sichern, muss eine Vertrauens­stellung eingerichtet werden. VCenter Server 6.7 verwendet TLS 1.2 für die Kommunikation mit dem KMS.

Der vom KMIP-Client verwendete Zertifikatstyp hängt vom KMS-Anbieter ab. Nicht alle akzeptieren selbst erstellte Zertifikate. Bei einigen Produkten generiert der KMS ein vertrauens­würdiges Zertifikat für den Client, das dieser herunterladen muss. Andere Anbieter akzeptieren nur ein vom KMS selbst bereitgestelltes Client-Zertifikat.

Hier weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.