Schutz durch Verschlüsselung von VMs mit geschäftskritischen Inhalten

Schutz vor dem Diebstahl virtueller Maschinen in drei Schritten

19.02.2010 | Autor / Redakteur: Eric Siebert / Ulrich Roderer

Begrenzen der Privilegien im Datastore von vSphere ist ein wichtiger Schutz
Begrenzen der Privilegien im Datastore von vSphere ist ein wichtiger Schutz

Virtuelle Maschinen lassen sich einfach kopieren und aus dem Unternehmen entwenden. DataCenter-Insider zeigt, wie es gemacht wird und wie man sich schützt.

Jemand mit einem Administratorzugang zu einer virtuellen Umgebung kann leicht die virtuellen Maschinen und Daten stehlen. Im Gegensatz zu physikalischen Servern, die nur schwer aus einem Rechenzentrum zu entwenden sind, lassen sich VMs einfach, ohne dass es bemerkt würde, über das Netz kopieren und auf einem Flash-Laufwerk aus der Firma mitnehmen.

Dieser Artikel beschreibt die Methoden in einer VMware-Umgebung, um Administratoren für die Gefahren zu sensibilisieren, und die Gegenmaßnahmen. Da eine virtuelle Maschine in einer Datei auf einem virtuellen Host gespeichert ist, kann jeder mit entsprechenden Zugangsrechten darauf zugreifen.

Es gibt grundsätzlich zwei Möglichkeiten auf eine VM in einer Virtual Disk (.vmdk) zuzugreifen. Die erste Möglichkeit wäre die ESX Service Console. Jemand, der das Root Passwort kennt oder einen User Account auf dem Host hat, kann Zugriff auf die VMFS-Volumes bekommen, in denen die VMs abgelegt sind und mit Tools wie Secure Copy oder SCP die Dateien kopieren. Oder jemand nutzt den vSphere/VMware Infrastructure Client, der einen Datastore-Browser enthält. Diese Methode soll jetzt beschrieben werden.

Schritt 1: Snapshot der VM

Zuerst muss ein Snapshot der VM gemacht werden. Damit wird die Virtual Disk der VM auf Read-only gesetzt und erzeugt eine neue Delta-Datei für alle Schreibzugriffe auf die Datei. Dieser Schritt ist wichtig, falls die VM gestartet ist und ihre virtuelle Datei benutzt. Ohne diesen Schritt ließe sich die VMDK-Datei nicht kopieren, weil sie gelockt wäre. Es handelt sich dabei um die selbe Methode, wie sie viele Backup-Anwendungen zum Sichern von VMs nutzen. Ist die VM abgeschaltet, entfällt dieser Schritt.

Schritt 2: Kopieren der Virtual Disk

Ein Datenräuber würde jetzt die VMDK-Disk kopieren. Dabei besteht die Option, die Konfigurationsdatei (.vmx) mitzukopieren, um den Import in den Player oder die Workstation zu vereinfachen. Die Vmdk-Disk besteht aus zwei Dateien: Die größere enthält die Blocks der Disk, die kleinere ist eine Textdatei mit dem Disk Descriptor File. Mit dem Datastore Browser von vSphere erscheinen beide als eine Datei und werden zusammen kopiert. Mit anderen Programmen wie WinSCP müssen beide einzeln kopiert werden.

Das Kopieren ist einfach: Man geht im Datastore der gewünschten VM in deren Grundverzeichnis, wählt die Dateien aus und wählt dann Download. Abhängig von der Dateigröße und der Netzwerkgeschwindigkeit kann der Download allerding bis zu Stunden dauern. Nach dem Download kann der Snapshot gelöscht werden.

Weiter mit: Zugriff auf die virtual Disk

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2043477 / Virtualisierung)