Server verschlüsseln?

Hallo,

Der Sinn Deiner Frage ist so wie Du sie gestellt hast nicht ersichtlich.
Was also ist der Sinn Deiner Frage?
Was willst Du bezwecken bzw. wovor willst Du schützen?
Außerdem was genau willst Du verschlüsseln?
Um welche Umgebung handelt es sich (Domäne, Arbeitsgruppe,)?
Um welche Betriebssysteme geht es (Windows, Unix / Linux, MacOS, OS/2, zOS, Solaris, usw.)?

Bedenke zudem das Verschlüsselung auch Performance kosten kann, zudem ist die Wiederherstellung im Bedarfsfalle komplexer.

Und schau mal hier rein, wie man eine Frage richtig stellt.

@maretz
Bleibe mal locker. Nicht immer gleich mit der Keule draufhauen. Der Beitragsersteller soll sich mal erklären.

Gruss Penny

Moin,

abhängig davon, welche Bedrohung du siehst und welche Anforderungen du tatsächlich hast, kann die Antwort unterscheidlich ausfallen.

Bei nicht näherer Spezifikation lautet die Antwort grundsätzlich ja.

Ja, du solltest die Festplatten verschlüsseln und zwar alles, von der OS platte, bis zum Storage. Die VMs selbst, sind es deine eigenen, nicht. Warum? Bringt eh nichts, wenn unten drunter schon alles verschlüsselt ist, kostet nur Performance.

Warum?

Im allgemeinen Fall sollte man erstmal vom Worst-case ausgehen. Also der Server ist einfach in irgendeinem Schrank an dem der Schlüssel steckt. Mit anderen Worten, jeder kann da ran, was übrigens Datenschutzrechtlich immer ein Problem ist, aber das ist eine andere Story. Problem das auftreten kann, jemand findet sich Lustig, zieht die Platte raus und nimmt sie mit nachhause. Keiner weiß wer es war, aber Daten sind jetzt erstmal weg. Der Server selbst spuckt ein bisschen, aber überlebt, weil du natürlich alles auf RAID gebaut hast und wenn da mal eine Platte fehlt, ist das zwar nicht schön, aber man verkraftet es. Damit nun bei der Platte die dir da gerade Flöten gegangen ist, keine Daten abhanden kommen, verschlüsselst du den Krempel bevor er auf der Platte landet.

Ebenfalls hast du so weniger Probleme, wenn die Platten für die Server vielleicht doch nicht Geschreddert werden.

Welche Probleme können auftreten?

Naja, wenn du nicht gerade auf Windows unterwegs bist und Bitlocker nur mit TPM dafür verwenden willst, was in dieser Situation ziemlich doof ist, wirst du immer wenn du den V-Host neustarten willst, nach einem Passwort gefragt. Sprich die Kiste sollte erreichbar sein. Sei es über ein Management interface oder Turnschuh.

Außerdem musst du daran denken, dass du bei einem neuinstallieren des Hosts eben entsprechende Passwörter benötigst und wenn wir jetzt mal von was Linuxbasiertem mit LUKS ausgehen, die Einbindung ein bis zwei anläufe braucht, bis es geht, wie es gehen soll. Hier muss man übrigens aufpassen, dass man sich beim neuinstalliern nicht die Header weglöscht, sonst macht das alles keinen Spaß mehr.

Zusammenfassung

Ja, es ist sinnvoll einen Server auch einen V-Host zu verschlüsseln, aber man muss es halt auch können, im Sinne von Wissen was man da tut und warum, sonst steht man ganz schnell mal mit einem wieder blanken V-Host da, was es in der Regel zu vermeiden gilt.

Hier sei auch erwähnt, dass es viele Rechenzentren gibt, die es nicht machen, weil:

- Alle Server in Räumen stehen, die Zugangsgesichert sind und 24/7 bewacht
- Es ein sehr hoher Aufwand ist diese Maschinen zu maintainen
- Man beim Hochfahren und/oder neustarten gerne mal wartet bis man sich erinnert, dass der ja ein Passwort braucht
- Man wenn man ein ganzes Rack hochfährt und diese grässlichen KVM emulatoren nur 3 von 4 Buchstaben richtig annimmt das Hochfahren durchaus Nerven kosten kann
- Die Gefahr sich ins Knie/Bein/Fuß/Hand/jedes andere Körperteil zu schießen extrem hoch ist, wenn man nicht genau darauf achtet und weiß, was man macht.

Also lies dich wirklich in die Docs ein, mach es 3 mal testweise, inklusive nur den Host neusetzen, die Daten aber behalten, erfolgreich und dann denke darüber nach in den Livebetrieb zu gehen.

Aus Erfahrung: Wenn es läuft, läuft's, aber man muss höllisch aufpassen.

Gruß
Chris