6
Bitlocker am Hyper-V oder in den VMs schneller?
Hallo,
ich habe hier ein "Moving-Lab".
Flotte Xeon CPU, 128GB RAM, 4TB M2 NVME Enterprise SSD.
Soll mit Hyper-V installiert werden.
Ich möchte die Datenträger der VMs verschlüsseln.
Entweder
A) Die SSD im Hyper-V mit Bitlocker und Hardware TPM verschlüsseln
oder
B) die virtuelle HDDs in den VMs mit Bitlocker und vTPM verschlüsseln
Weiß Jemand wie es hier mit der Performance aussieht?
Gibt hier fühl- oder messbare Unterschiede?
Stefan
ich habe hier ein "Moving-Lab".
Flotte Xeon CPU, 128GB RAM, 4TB M2 NVME Enterprise SSD.
Soll mit Hyper-V installiert werden.
Ich möchte die Datenträger der VMs verschlüsseln.
Entweder
A) Die SSD im Hyper-V mit Bitlocker und Hardware TPM verschlüsseln
oder
B) die virtuelle HDDs in den VMs mit Bitlocker und vTPM verschlüsseln
Weiß Jemand wie es hier mit der Performance aussieht?
Gibt hier fühl- oder messbare Unterschiede?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3588662366
Url: https://administrator.de/contentid/3588662366
Printed on: April 20, 2024 at 02:04 o'clock
6 Comments
Latest comment
Habe durch die Suche gerade das hier gefunden
Hyper-V und Bitlocker-Verschlüsselung
Fazit: BL am Hyper-V und in den VMs optional.
Zur Performance steht dort aber nichts.
Hyper-V und Bitlocker-Verschlüsselung
Fazit: BL am Hyper-V und in den VMs optional.
Zur Performance steht dort aber nichts.
Es sollte nicht mehr als 20 Minuten dauern, einen Vergleich anzustellen.
Installiere eine VM.
Miss die Performance in dieser VM.
Verschlüssele nun diese VM und miss erneut
Entschlüssel sie dann und verschlüssele danach die Hostpartition und miss erneut.
Kleine Hostpartition von 40 GB reicht für den Test aus.
Installiere eine VM.
Miss die Performance in dieser VM.
Verschlüssele nun diese VM und miss erneut
Entschlüssel sie dann und verschlüssele danach die Hostpartition und miss erneut.
Kleine Hostpartition von 40 GB reicht für den Test aus.
Ich schaue mal. Ich hatte erwartet, dass Jemand hierzu ein paar Infos aus dem Hut zaubern würde.
Ich wundere mich, dass auf die Threads zu BL in VMs so wenig Feedback erhalten habe.
Das ist ja immer ein Zeichen, dass es keiner macht. Finde ich merkwürdig.
Besonders auf Server bezogen die in irgendwelchen Clouds laufen.
Stefan
Ich wundere mich, dass auf die Threads zu BL in VMs so wenig Feedback erhalten habe.
Das ist ja immer ein Zeichen, dass es keiner macht. Finde ich merkwürdig.
Besonders auf Server bezogen die in irgendwelchen Clouds laufen.
Stefan
Zitat von @StefanKittel:
Das ist ja immer ein Zeichen, dass es keiner macht. Finde ich merkwürdig.
Besonders auf Server bezogen die in irgendwelchen Clouds laufen.
Das ist ja immer ein Zeichen, dass es keiner macht. Finde ich merkwürdig.
Besonders auf Server bezogen die in irgendwelchen Clouds laufen.
Es wird keiner testen, weil Verschlüsselung in der VM oder im Hypervisor keine echten Alternativen sind. Zumindest habe ich es deshalb noch nie getestet.
Wenn man es in der Cloud macht, ist man auf die VM beschränkt, und die Verschlüsselung der VM notwendg, um eine selbst kontrollierte kryptographische Löschoption zu haben. Selbst wenn man wollte, könnte man den Einfluss dieser Verschlüsselung allein auch nicht testen, weil in der Regel der Storage darunter ebenfalls verschlüsselt ist, man also nur die VM-Verschlüsselung zusätzlich bekommt.
Wird der Host selbst administriert, ist das Vorgehen dasselbe, da der physische Storage aus diversen Gründen immer verschlüsselt wird. Wäre das nicht der Fall, wären nicht nur der Hypervisor/die Parent-Partition, Installationsdaten etc. gefährdet. Es bestünde außerdem das Risiko, dass z.B. Arbeitsspeicherinhalte der VMs geschrieben werden, also schlimmstenfalls im ausgeschalteten Zustand die Datenträger verschlüsselte VHDs und daneben die Arbeitsspeicher-Snapshots mit den Schlüsseln enthalten.
Sofern noch kryptographische Grenzen zwischen den VMs erforderlich sind bzw. analoge Überlegungen zu Cloud-Tenants greifen, verschlüsselt man eben zusätzlich auch die VMs.
Verschlüsselung allein in der VM kommt eigentlich nur bei direkt an die VM angebundenen physischen Datenträgern vor.
Dennoch als Alternativen betrachtet, mag die Verschlüsselung auf dem Host vielleicht etwas performanter sein, weil theoretisch das Scheduling effizienter sein könnte als konurrierend innerhalb der VMs.
Grüße
Richard
Hallo Richard,
was ist eigentlich mit den ganzen Servern von Hetzner & Co?
Die haben alle kein TPM und ich vermute stark, dass 99,9% davon nicht verschlüsselt sind.
Stefan
was ist eigentlich mit den ganzen Servern von Hetzner & Co?
Die haben alle kein TPM und ich vermute stark, dass 99,9% davon nicht verschlüsselt sind.
Stefan
Zitat von @StefanKittel:
was ist eigentlich mit den ganzen Servern von Hetzner & Co?
Die haben alle kein TPM und ich vermute stark, dass 99,9% davon nicht verschlüsselt sind.
was ist eigentlich mit den ganzen Servern von Hetzner & Co?
Die haben alle kein TPM und ich vermute stark, dass 99,9% davon nicht verschlüsselt sind.
Hallo Stefan,
ja, das dürfte so sein. Die hatte ich beim Begriff Cloud nicht auf dem Schirm.
Zumindest bei Computing/IaaS ist für mich Cloud gleichbedeutend mit AWS/Azure/GCP. Zwischen deren ausentwickelten Cloud-Stacks und Co-Location/On-Premises gibt es halt kaum praktische Möglichkeiten, solche grundlegenden Anforderungen umzusetzen. Schon wenn man mit reifen Alternativen wie Cloudsigma oder OpenStack arbeitet, wird es schwierig. Das als Cloud deklarierte VM-Hosting bedient eine Nische meines Erachtens im semiprofessionellen Bereich.
Was man bei Hetzner machen kann: Die Platte verschlüsseln, Neustarts nur mit Skripts initiieren, die z.B. Bitlocker aussetzen und anschließend neu starten (das Reboot-Event per Task-Scheduler für das Aussetzen abzufangen, klappt manchmal, aber nicht immer). Wenn man einen unerwarteten Neustart hat, kann eine Schlüsseldatei in der Recovery-Umgebung auf eine unverschlüsselte Partition gelegt werden (z.B. auch die EFI-Partition). Danach den Schlüssel rotieren (da er in der Regel nicht mehr sicher gelöscht werden kann), fertig.
Grüße
Richard
