kentoh - Fotolia

F

Welche Bedingungen gelten für die Encrypted vMotion in vSphere 6.5?

Mit vSphere 6.5 kann die Live-Migration virtueller Maschinen auch verschlüsselt erfolgen. Welche Bedingungen gelten für Encrypted vMotion?

VMware vMotion ermöglicht die Live-Migration laufender virtueller Maschinen zwischen Host-Systemen. Diese Technologie ist bereits seit mehreren Jahren erhältlich und mittlerweile auch ausreichend erprobt. Das Risiko, Daten durch die unverschlüsselte Migration während der Übertragung im Netzwerk zu kompromittieren, hat VMware jetzt dazu veranlasst, in vSphere 6.5 die neue Option der Encrypted vMotion einzuführen.

Die Verschlüsselung soll sicherstellen, dass alle migrierten Daten auch intakt und unverändert auf dem neuen Host ankommen. Die verschlüsselten Inhalte können weder gelesen noch verändert werden.

Auch wenn Encrypted vMotion sehr leicht zu aktivieren ist, sollten Administratoren die damit zusammenhängenden Regeln kennen. Storage vMotion zum Beispiel unterstützt die Verschlüsselung zwar, hierfür muss aber auch die verwendete Festplatte bereits verschlüsselt sein. Wenn die Festplatte nicht sowieso verschlüsselt ist (Data at Rest), dann ist die Verschlüsselung für Storage vMotion (in Flight) nicht möglich.

Encrypted vMotion funktioniert natürlich auch für virtuelle Maschinen. Eine virtuelle Maschine, die per VM Encryption sowieso verschlüsselt ist, wird auch immer Encrypted vMotion nutzen. Die Verschlüsselung in Flight kann also nicht deaktiviert werden, wenn sie at Rest bereits besteht. Encrypted vMotion wird sogar dann weiter eingesetzt, wenn die VM-Verschlüsselung später deaktiviert wird, außer die Migrationseinstellungen werden manuell geändert.

Wenn eine virtuelle Maschine aber nicht bereits verschlüsselt ist, können Administratoren auch weiterhin auf die Verschlüsselung verzichten, die Verschlüsselung aktivieren, wenn der Host mit ESXi 6.5 kompatibel ist, oder die Verschlüsselung erzwingen. Im letzteren Fall ist die Migration nicht möglich, wenn der Ziel-Host die Verschlüsselung nicht unterstützt. Dieses Verhalten kann zu Problemen führen, wenn unterschiedliche vSphere- und ESXi-Versionen zum Einsatz kommen. Um alle Vorteile von Encrypted vMotion nutzen zu können, müssen alle Host-Systemen mindestens vSphere/ESXi 6.5 nutzen.

Eine wichtige Eigenschaft von Encrypted vMotion ist zudem, dass der Prozess der Verschlüsselung und Entschlüsselung auf VM-Ebene erfolgt. Es wird also die virtuelle Maschine verschlüsselt, nicht die Netzwerkverbindung. Damit werden mögliche Probleme bei einer Änderung der Netzwerkkonfiguration oder beim Zertifikats-Management ausgeschlossen, die der Verschlüsselung im Weg stehen könnten.

vCenter erstellt für Encrypted vMotion zufällige 256-Bit-Schlüssel sowie einen zufälligen 64-Bit-Einmal-Code. Schlüssel und Code werden anschließend auf den Quell- und Ziel-Host übertragen, wobei das Gast-Betriebssystem keinen Zugriff auf die Verschlüsselungs-Keys erhält.

Der Quell-Host nutzt Schlüssel und Code zur Verschlüsselung der virtuellen Maschine, der Ziel-Host entsprechend zum Entschlüsseln. Angreifer können dabei wegen des zufälligen Einmal-Codes den Datenstrom der VM-Migration weder auslesen oder manipulieren.

Abgesehen von vSphere 6.5 gibt es weitere Voraussetzungen, die bei Encrypted vMotion bedacht werden müssen. Zunächst benötigt man ein zusätzliches System zur Verwaltung der Verschlüsselungs-Keys, das außerhalb der vSphere-Umgebung liegen muss. Dabei kann es auch zu Problemen bei Backups kommen, weil bislang nur Ethernet-Backups unterstützt werden. Backups über SANs (Storage Area Network) hinweg sind also nicht möglich. Zusätzlich werden derzeit auch Funktionen wie das Pausieren und wieder Aktivieren virtueller Maschinen, Snapshots verschlüsselter VMs, die vSphere-Replikation und Content-Library-Features nicht unterstützt.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über VMware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close