6
Hyper-V und Bitlocker-Verschlüsselung
Hallo,
wir planen die Hyper-V Hosts an den (schlechter gesicherten) Remote-Standorten mit Bitlocker zu verschlüsseln, damit die Daten nicht in fremde Hände gelangen können. An den Standorten gibt es einen Windows Server 2016 Hyper-V Host mit jeweils 2-3 Server 2016-VMs, TPM 2.0 ist jeweils im Server vorhanden.
Wir stehen nur vor der Überlegung, ob wir rein den physikalischen Server mit Bitlocker verschlüsseln oder ob wir alternativ oder zusätzlich die virtuellen Maschinen mittels vTPM über Bitlocker verschlüsseln. Hierzu muss ich sagen, dass die VMs aus historischen Gründen noch in Gen1 laufen und wir schleichend auf Gen2 wechseln werden.
Für unseren Zweck, dass die Daten z.B. bei Einbruch nicht in fremde Hände gelangen, ist das Verschlüsseln der Hosts sicherlich ausreichend. Die Verschlüsselung der VMs schützt dann nochmal vor einem ungewollten Zugriff auf OS-Ebene.
Wie sind eure Erfahrungen hiermit? Wie funktioniert Bitlocker mit vTPM in der Praxis?
Wir haben im übrigens auf den Clients Bitlocker bereits im Einsatz, die Konfiguration erfolgt zentral via GPO und die Wiederherstellungsschlüssel werden ins AD geschrieben. Eine Pre-Boot Authentifizierung wird bei den Clients nicht verwendet und ist bei den Servern ebenfalls nicht vorgesehen.
Die Datensicherung an den Standorten erfolgt auch ein hardwareseitig verschlüsseltes NAS sowie in die Hauptniederlassung, insofern verbleiben keine unverschlüsselten Kopien der Daten am Standort.
Danke für euer Feedback.
wir planen die Hyper-V Hosts an den (schlechter gesicherten) Remote-Standorten mit Bitlocker zu verschlüsseln, damit die Daten nicht in fremde Hände gelangen können. An den Standorten gibt es einen Windows Server 2016 Hyper-V Host mit jeweils 2-3 Server 2016-VMs, TPM 2.0 ist jeweils im Server vorhanden.
Wir stehen nur vor der Überlegung, ob wir rein den physikalischen Server mit Bitlocker verschlüsseln oder ob wir alternativ oder zusätzlich die virtuellen Maschinen mittels vTPM über Bitlocker verschlüsseln. Hierzu muss ich sagen, dass die VMs aus historischen Gründen noch in Gen1 laufen und wir schleichend auf Gen2 wechseln werden.
Für unseren Zweck, dass die Daten z.B. bei Einbruch nicht in fremde Hände gelangen, ist das Verschlüsseln der Hosts sicherlich ausreichend. Die Verschlüsselung der VMs schützt dann nochmal vor einem ungewollten Zugriff auf OS-Ebene.
Wie sind eure Erfahrungen hiermit? Wie funktioniert Bitlocker mit vTPM in der Praxis?
Wir haben im übrigens auf den Clients Bitlocker bereits im Einsatz, die Konfiguration erfolgt zentral via GPO und die Wiederherstellungsschlüssel werden ins AD geschrieben. Eine Pre-Boot Authentifizierung wird bei den Clients nicht verwendet und ist bei den Servern ebenfalls nicht vorgesehen.
Die Datensicherung an den Standorten erfolgt auch ein hardwareseitig verschlüsseltes NAS sowie in die Hauptniederlassung, insofern verbleiben keine unverschlüsselten Kopien der Daten am Standort.
Danke für euer Feedback.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1362679753
Url: https://administrator.de/contentid/1362679753
Printed on: April 20, 2024 at 04:04 o'clock
6 Comments
Latest comment
Hi.
BL funktioniert wunderbar mit vTPM (nur Gen2 Maschinen ermöglichen vTPM, wie Du weißt).
Den Host solltest Du in jedem Fall verschlüsseln. Ob Du die Angriffsmöglichkeiten bei BL ohne PBA für realistisch hältst und deshalb noch zusätzlich die VMs verschlüsseln willst, musst Du abwägen. Die Angriffe gegen physikalische Maschinen ohne PBA sind jedenfalls im Netz mehrfach ausgestellt worden, während ich noch keine Angriffe gegen VMs ohne PBA gesehen habe (auch der virtuelle Arbeitsspeicher ist vermutlich angreifbar, bloß gesehen habe ich das noch nicht).
BL funktioniert wunderbar mit vTPM (nur Gen2 Maschinen ermöglichen vTPM, wie Du weißt).
Den Host solltest Du in jedem Fall verschlüsseln. Ob Du die Angriffsmöglichkeiten bei BL ohne PBA für realistisch hältst und deshalb noch zusätzlich die VMs verschlüsseln willst, musst Du abwägen. Die Angriffe gegen physikalische Maschinen ohne PBA sind jedenfalls im Netz mehrfach ausgestellt worden, während ich noch keine Angriffe gegen VMs ohne PBA gesehen habe (auch der virtuelle Arbeitsspeicher ist vermutlich angreifbar, bloß gesehen habe ich das noch nicht).
Der Hyper-V-Server lässt sich problemlos mit BitLocker verschlüsseln und läuft befundfrei.
Bis einschließlich Windows 2012 R2 geht es alternativ ebenso mit VeraCrypt, wenn auf eine alternative Verschlüsselung gesetzt werden soll. Ob das auch bei Windows 2016 oder höher funktioniert, weiß ich aber nicht. Es lässt sich aber ganz leicht ausprobieren: In VeraCrypt den Verschlüsselungsprozess starten und schauen, ob der Neustart, mit dem VeraCrypt das ordnungsgemäß Funktionieren prüft, fehlerfrei ist. Andernfalls verweigert VeraCrypt eine Verschlüsselung des Systemlaufwerks.
Wenn die VM's ebenfalls verschlüsselt werden sollen, stellt sich die Frage, ob dann ein automatischer Start möglich ist und inwieweit die hinterlegten Entsperrmechanismen geschützt sind. Ich tendiere dazu, dass dann, wenn alle Laufwerke (nicht nur das System) des Hypervisors, auf denen die VM's irgendwie abgelegt sind, verschlüsselt sind, die zusätzliche Verschlüsselung der VM's entbehrlich ist. Immerhin kostet die zusätzliche Verschlüsselung auch Rechenleistung.
Viele Grüße
HansDampf06
Bis einschließlich Windows 2012 R2 geht es alternativ ebenso mit VeraCrypt, wenn auf eine alternative Verschlüsselung gesetzt werden soll. Ob das auch bei Windows 2016 oder höher funktioniert, weiß ich aber nicht. Es lässt sich aber ganz leicht ausprobieren: In VeraCrypt den Verschlüsselungsprozess starten und schauen, ob der Neustart, mit dem VeraCrypt das ordnungsgemäß Funktionieren prüft, fehlerfrei ist. Andernfalls verweigert VeraCrypt eine Verschlüsselung des Systemlaufwerks.
Wenn die VM's ebenfalls verschlüsselt werden sollen, stellt sich die Frage, ob dann ein automatischer Start möglich ist und inwieweit die hinterlegten Entsperrmechanismen geschützt sind. Ich tendiere dazu, dass dann, wenn alle Laufwerke (nicht nur das System) des Hypervisors, auf denen die VM's irgendwie abgelegt sind, verschlüsselt sind, die zusätzliche Verschlüsselung der VM's entbehrlich ist. Immerhin kostet die zusätzliche Verschlüsselung auch Rechenleistung.
Viele Grüße
HansDampf06
Zitat von @HansDampf06:
Immerhin kostet die zusätzliche Verschlüsselung auch Rechenleistung.
Sei dazu aber angemerkt, dass das kaum ins Gewicht fallen dürfte. So einen Aufbau habe ich auch schon gesehen - und das lief soweit ganz gut, selbst auf Consumer Hardware (Standard SATA SSDs, i7 7700K etc.).
Danke für eure Meinungen. Ich habe das grundsätzlich auch schon auf einem Testsystem durchgespielt, also sowohl den Host als auch die VMs verschlüsselt, soweit klappt auch das Booten reibungslos.
Wenn ich die HDD woanders anschließe, dann kann ich über den Wiederherstellungsschlüssel auf die Partitionen zugreifen, die vhdx wiederum kann ich dann auch nur über den Wiederherstellungsschlüssel der VM zugreifen.
Von der Performance her mache ich mir keine Gedanken, hier laufen selbst Systeme mit einem i3 aus 2012 problemlos mit Bitlocker.
Ich werde es wohl dann mal mit dem Host angehen und später, bei dem Wechsel auf Gen2, die VMs nachziehen.
Bezüglich der PBA sind zwar Angriffe grundsätzlich möglich, aber in der Abwägung zwischen Aufwand und Risiko sehe ich das nicht unbedingt für uns.
Wenn ich die HDD woanders anschließe, dann kann ich über den Wiederherstellungsschlüssel auf die Partitionen zugreifen, die vhdx wiederum kann ich dann auch nur über den Wiederherstellungsschlüssel der VM zugreifen.
Von der Performance her mache ich mir keine Gedanken, hier laufen selbst Systeme mit einem i3 aus 2012 problemlos mit Bitlocker.
Ich werde es wohl dann mal mit dem Host angehen und später, bei dem Wechsel auf Gen2, die VMs nachziehen.
Bezüglich der PBA sind zwar Angriffe grundsätzlich möglich, aber in der Abwägung zwischen Aufwand und Risiko sehe ich das nicht unbedingt für uns.
Wenn ich die HDD woanders anschließe, dann kann ich über den Wiederherstellungsschlüssel auf die Partitionen zugreifen, die vhdx wiederum kann ich dann auch nur über den Wiederherstellungsschlüssel der VM zugreifen.
Hier hat VeraCrypt, das gerade keine Bindung mit der Hardware eingeht, mit seiner ausschließlich an die verschlüsselte HDD gebundenen PBA den Vorteil: HDD einfach umhängen und weiterarbeiten.[Freilich darf es keine Hardwareinkompatibilitäten geben. Aber das steht auf einem anderen Blatt und gilt insoweit auch für BitLocker.]
Zitat von @HansDampf06:
Hier hat VeraCrypt, das gerade keine Bindung mit der Hardware eingeht, mit seiner ausschließlich an die verschlüsselte HDD gebundenen PBA den Vorteil: HDD einfach umhängen und weiterarbeiten.
[Freilich darf es keine Hardwareinkompatibilitäten geben. Aber das steht auf einem anderen Blatt und gilt insoweit auch für BitLocker.]
Hier hat VeraCrypt, das gerade keine Bindung mit der Hardware eingeht, mit seiner ausschließlich an die verschlüsselte HDD gebundenen PBA den Vorteil: HDD einfach umhängen und weiterarbeiten.
[Freilich darf es keine Hardwareinkompatibilitäten geben. Aber das steht auf einem anderen Blatt und gilt insoweit auch für BitLocker.]
Danke für den Hinweis, VeraCrypt nutze ich zurzeit auch bereits für persönliche verschlüsselte Container. In dem beschriebenen Fall wollte damit aber nur zum Ausdruck bringen, dass das Verfahren soweit wie erwartet funktioniert hat. Wir werden in der Regel nicht die Festplatte ausbauen und an einem anderen System anschließen.
