Bitlocker am Hyper-V oder in den VMs schneller?
Hallo,
ich habe hier ein "Moving-Lab".
Flotte Xeon CPU, 128GB RAM, 4TB M2 NVME Enterprise SSD.
Soll mit Hyper-V installiert werden.
Ich möchte die Datenträger der VMs verschlüsseln.
Entweder
A) Die SSD im Hyper-V mit Bitlocker und Hardware TPM verschlüsseln
oder
B) die virtuelle HDDs in den VMs mit Bitlocker und vTPM verschlüsseln
Weiß Jemand wie es hier mit der Performance aussieht?
Gibt hier fühl- oder messbare Unterschiede?
Stefan
ich habe hier ein "Moving-Lab".
Flotte Xeon CPU, 128GB RAM, 4TB M2 NVME Enterprise SSD.
Soll mit Hyper-V installiert werden.
Ich möchte die Datenträger der VMs verschlüsseln.
Entweder
A) Die SSD im Hyper-V mit Bitlocker und Hardware TPM verschlüsseln
oder
B) die virtuelle HDDs in den VMs mit Bitlocker und vTPM verschlüsseln
Weiß Jemand wie es hier mit der Performance aussieht?
Gibt hier fühl- oder messbare Unterschiede?
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3588662366
Url: https://administrator.de/forum/bitlocker-am-hyper-v-oder-in-den-vms-schneller-3588662366.html
Ausgedruckt am: 02.04.2025 um 09:04 Uhr
6 Kommentare
Neuester Kommentar
Es sollte nicht mehr als 20 Minuten dauern, einen Vergleich anzustellen.
Installiere eine VM.
Miss die Performance in dieser VM.
Verschlüssele nun diese VM und miss erneut
Entschlüssel sie dann und verschlüssele danach die Hostpartition und miss erneut.
Kleine Hostpartition von 40 GB reicht für den Test aus.
Installiere eine VM.
Miss die Performance in dieser VM.
Verschlüssele nun diese VM und miss erneut
Entschlüssel sie dann und verschlüssele danach die Hostpartition und miss erneut.
Kleine Hostpartition von 40 GB reicht für den Test aus.
Zitat von @StefanKittel:
Das ist ja immer ein Zeichen, dass es keiner macht. Finde ich merkwürdig.
Besonders auf Server bezogen die in irgendwelchen Clouds laufen.
Das ist ja immer ein Zeichen, dass es keiner macht. Finde ich merkwürdig.
Besonders auf Server bezogen die in irgendwelchen Clouds laufen.
Es wird keiner testen, weil Verschlüsselung in der VM oder im Hypervisor keine echten Alternativen sind. Zumindest habe ich es deshalb noch nie getestet.
Wenn man es in der Cloud macht, ist man auf die VM beschränkt, und die Verschlüsselung der VM notwendg, um eine selbst kontrollierte kryptographische Löschoption zu haben. Selbst wenn man wollte, könnte man den Einfluss dieser Verschlüsselung allein auch nicht testen, weil in der Regel der Storage darunter ebenfalls verschlüsselt ist, man also nur die VM-Verschlüsselung zusätzlich bekommt.
Wird der Host selbst administriert, ist das Vorgehen dasselbe, da der physische Storage aus diversen Gründen immer verschlüsselt wird. Wäre das nicht der Fall, wären nicht nur der Hypervisor/die Parent-Partition, Installationsdaten etc. gefährdet. Es bestünde außerdem das Risiko, dass z.B. Arbeitsspeicherinhalte der VMs geschrieben werden, also schlimmstenfalls im ausgeschalteten Zustand die Datenträger verschlüsselte VHDs und daneben die Arbeitsspeicher-Snapshots mit den Schlüsseln enthalten.
Sofern noch kryptographische Grenzen zwischen den VMs erforderlich sind bzw. analoge Überlegungen zu Cloud-Tenants greifen, verschlüsselt man eben zusätzlich auch die VMs.
Verschlüsselung allein in der VM kommt eigentlich nur bei direkt an die VM angebundenen physischen Datenträgern vor.
Dennoch als Alternativen betrachtet, mag die Verschlüsselung auf dem Host vielleicht etwas performanter sein, weil theoretisch das Scheduling effizienter sein könnte als konurrierend innerhalb der VMs.
Grüße
Richard
Zitat von @StefanKittel:
was ist eigentlich mit den ganzen Servern von Hetzner & Co?
Die haben alle kein TPM und ich vermute stark, dass 99,9% davon nicht verschlüsselt sind.
was ist eigentlich mit den ganzen Servern von Hetzner & Co?
Die haben alle kein TPM und ich vermute stark, dass 99,9% davon nicht verschlüsselt sind.
Hallo Stefan,
ja, das dürfte so sein. Die hatte ich beim Begriff Cloud nicht auf dem Schirm.
Zumindest bei Computing/IaaS ist für mich Cloud gleichbedeutend mit AWS/Azure/GCP. Zwischen deren ausentwickelten Cloud-Stacks und Co-Location/On-Premises gibt es halt kaum praktische Möglichkeiten, solche grundlegenden Anforderungen umzusetzen. Schon wenn man mit reifen Alternativen wie Cloudsigma oder OpenStack arbeitet, wird es schwierig. Das als Cloud deklarierte VM-Hosting bedient eine Nische meines Erachtens im semiprofessionellen Bereich.
Was man bei Hetzner machen kann: Die Platte verschlüsseln, Neustarts nur mit Skripts initiieren, die z.B. Bitlocker aussetzen und anschließend neu starten (das Reboot-Event per Task-Scheduler für das Aussetzen abzufangen, klappt manchmal, aber nicht immer). Wenn man einen unerwarteten Neustart hat, kann eine Schlüsseldatei in der Recovery-Umgebung auf eine unverschlüsselte Partition gelegt werden (z.B. auch die EFI-Partition). Danach den Schlüssel rotieren (da er in der Regel nicht mehr sicher gelöscht werden kann), fertig.
Grüße
Richard