Die Datenverschlüsselung ist ein wesentlicher und wirk-samer Schutz gegen Cyberangriffe. Das gilt gleichermaßen für virtuelle Instanzen, besonders wenn sie in der Cloud gehostet werden. VMware bietet verschiedene Möglichkeiten zur VM-Verschlüsselung, darunter die Nutzung externer Key-Management-Systeme samt einfacher Bedienung via vCenter. Cloudbasierte Angebote können gerade für kleinere Unternehmen eine interessante Alternative für eine zentral verwaltete VM-Verschlüsselung bieten.
T-Sicherheit ist ein fortlaufender Prozess, der regelmäßige Aufmerksamkeit und Anpassungen an eine sich stetig ändernde und wachsende Bedrohungslage erfordert. Gesetzliche Regelungen und Branchenstandards treiben die Entwicklung ihrerseits entsprechend voran und liefern den Unternehmen einen konkreten Handlungsrahmen. Dazu zählt auch die NIS-Direktive, die derzeit viele Unternehmen beschäftigt. Die erste EU-weite Regulierung zur Cybersecurity wurde in Deutschland durch das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz für mehr Cybersicherheit in der kritischen Infrastruktur in Kombination mit einer Stärkung der Rolle des BSI umgesetzt. Die NIS-2-Richtlinie wurde im November 2022 vom EU-Parlament verabschiedet und verschärft nochmals die Anforderungen.
Zusätzliche Branchen und auch kleinere Unternehmen werden damit verpflichtet, den sogenannten "Stand der Technik" in der Cybersecurity umzusetzen. Was das konkret in Deutschland bedeutet, erläutert beispielsweise der Bundesverband IT-Sicherheit (TeleTrusT) unter [1]. Es kann davon ausgegangen werden, dass nicht wenige betroffene Unternehmen bei Umsetzung dieser Anforderungen "Neuland" betreten. Damit gewinnen jedoch nochmals einfache Lösungen für komplexe Fragen der IT-Sicherheit an Bedeutung.
Verschlüsselung von Daten wichtiger denn je
Die Verschlüsselung der Daten ist grundsätzlich ein zentraler Erfolgsfaktor beim Schutz vor Cyberangriffen. Denn ist ein Hacker erst einmal im System, ist er zwar in der Lage, den Betriebsablauf massiv zu stören, kann jedoch nicht von erbeuteten Daten profitieren. Schließlich sind diese für Dritte nicht lesbar und besitzen somit auch keinen Wert. Hat das Unternehmen sich außerdem mit Offline-Backup-Konzepten und konkreten Wiederaufbauplänen auf ein solches Szenario vorbereitet, dürfte sich der Schaden und die Erpressbarkeit in Grenzen halten.
T-Sicherheit ist ein fortlaufender Prozess, der regelmäßige Aufmerksamkeit und Anpassungen an eine sich stetig ändernde und wachsende Bedrohungslage erfordert. Gesetzliche Regelungen und Branchenstandards treiben die Entwicklung ihrerseits entsprechend voran und liefern den Unternehmen einen konkreten Handlungsrahmen. Dazu zählt auch die NIS-Direktive, die derzeit viele Unternehmen beschäftigt. Die erste EU-weite Regulierung zur Cybersecurity wurde in Deutschland durch das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz für mehr Cybersicherheit in der kritischen Infrastruktur in Kombination mit einer Stärkung der Rolle des BSI umgesetzt. Die NIS-2-Richtlinie wurde im November 2022 vom EU-Parlament verabschiedet und verschärft nochmals die Anforderungen.
Zusätzliche Branchen und auch kleinere Unternehmen werden damit verpflichtet, den sogenannten "Stand der Technik" in der Cybersecurity umzusetzen. Was das konkret in Deutschland bedeutet, erläutert beispielsweise der Bundesverband IT-Sicherheit (TeleTrusT) unter [1]. Es kann davon ausgegangen werden, dass nicht wenige betroffene Unternehmen bei Umsetzung dieser Anforderungen "Neuland" betreten. Damit gewinnen jedoch nochmals einfache Lösungen für komplexe Fragen der IT-Sicherheit an Bedeutung.
Verschlüsselung von Daten wichtiger denn je
Die Verschlüsselung der Daten ist grundsätzlich ein zentraler Erfolgsfaktor beim Schutz vor Cyberangriffen. Denn ist ein Hacker erst einmal im System, ist er zwar in der Lage, den Betriebsablauf massiv zu stören, kann jedoch nicht von erbeuteten Daten profitieren. Schließlich sind diese für Dritte nicht lesbar und besitzen somit auch keinen Wert. Hat das Unternehmen sich außerdem mit Offline-Backup-Konzepten und konkreten Wiederaufbauplänen auf ein solches Szenario vorbereitet, dürfte sich der Schaden und die Erpressbarkeit in Grenzen halten.
Cyberangriffe machen selbstverständlich nicht vor VMs Halt. So müssen sich deren Betreiber zunehmend die Frage stellen, wie sie die Verschlüsselung kritischer Daten in ihren VMs umsetzen können. Denn erlangen unbefugte Mitarbeiter oder externe Angreifer Zugriff auf das Netzwerk, wandelt sich der Vorteil von VMs plötzlich zu einem nicht unerheblichen Risiko. Schließlich sind sie portabel und per se dafür gemacht, kopiert oder gar zwischen Servern verschoben zu werden. Sie werden damit quasi "to go" serviert und die Daten unverschlüsselter VMs können folglich sehr einfach abgegriffen werden.
VMware bietet Anwendern Möglichkeiten an, ihre VMs über eigene Bordmittel, den vSphere Native Key Provider, oder externe Key Management Systeme (KMS) zu verschlüsseln. Ein KMS bietet durch den möglichen Einsatz von Hardware-Security-Modulen ein Plus an Sicherheit und die Umsetzung des "Stands der Technik". Das Angebot scheint sich noch nicht umfangreich durchgesetzt zu haben. Der allseits beklagte Mangel an Fachpersonal dürfte hier eine Rolle spielen.
Gerade beim komplexen und fehleranfälligen Umgang mit Schlüsselmaterial ist erfahrenes und gut ausgebildetes Fachpersonal gefragt. Zu den Herausforderungen zählen vor allem ein Konzept für das Backup des Schlüsselmaterials, die Ausfallsicherheit und die Skalierbarkeit. Im Worst Case bedeutet ein Verlust der Schlüssel schließlich den Verlust aller verschlüsselten Daten. Daher ist es durchaus verständlich, dass kleinere und mittlere Betriebe auch aufgrund der Personalsituation eher zurückhaltend bei diesem Thema sind.
Externe Key-Management-Systeme
Ein externes KMS ermöglicht mehr Gestaltungsspielraum bei der Umsetzung individueller und anspruchsvoller IT-Sicherheitsanforderungen, wie beispielsweise den Auflagen für KRITIS-Betreiber. VMware weist ausdrücklich darauf hin, dass mit dem internen Verschlüsselungstool Native Key Provider keine Interoperabilität für externe Systeme, Hardware-Security-Modul-Unterstützung (HSM) oder auch andere Funktionen eines gängigen KMS möglich sind. Sofern externe KMS die Standardschnittstelle KMIP (Key Management Interoperability Protocol) nutzen, bieten diese folglich eine leistungsfähige Alternative, die zudem flexibel einsetzbar ist.
Einzelne oder sämtliche Laufwerke der virtuellen Maschinen lassen sich mit einem KMS einfach und sicher verschlüsseln. Hochwertiges Schlüsselmaterial erzeugen Admins am besten mit einem HSM. In diesem werden dann alle kryptographischen Schlüssel vor unbefugten Zugriffen manipulationssicher aufbewahrt. Die Anschaffung eines geeigneten KMS plus kostspieligem HSM und deren sicherer Betrieb ist aber ein Prozess, der Zeit, Ressourcen und vor allem Expertise beansprucht. Das Setup eines KMS nach dem Stand der Technik muss zwar sorgfältig geplant und umgesetzt werden, bietet jedoch einen erheblich besseren Schutz sensibler Daten und weitere Vorteile.
Einheitliche Verschlüsselung über vCenter
Nutzen IT-Verantwortliche ein KMS für die Verschlüsselung ihrer VMs, steht ein einheitliches Verfahren und ein zentraler Prozess zur Verfügung. Das spart Zeit, Kosten und reduziert die Komplexität. Weil das KMS über die Standard-KMIP-Schnittstelle des vCenter verfügt, ist die Auswahl und Verschlüsselung jeder einzelnen VM durch den Administrator einfach möglich. Das vCenter sorgt für eine transparente Ver- und Entschlüsselung. Nach einmaliger Konfiguration ist kein weiterer manueller Prozess erforderlich. Die Passworteingabe (Pre-Boot Authentication) ist ebenfalls nicht nötig.
Alles, was auf der betreffenden VM läuft, ist von diesem Zeitpunkt an automatisch verschlüsselt. Dabei kann die Verschlüsselung der VM unabhängig vom Gastbetriebssystem erfolgen. Sie ist insbesondere auch durchsetzbar, wenn das Gast-OS selbst keine Full Disk Encryption unterstützt. Die Verschlüsselung der VM lässt sich außerdem per Policy firmenweit durchsetzen, während in durch Regulierungen geforderten Audits die Verschlüsselung zentral überprüft und nachgewiesen werden kann. Diese Policy gilt dann plattformübergreifend für alle Gastsysteme.
Schutz sensibler Daten
Das Verschlüsselungsverfahren schützt sämtliche Daten auf den VMs von VMware: Die Datenbank, das Dateisystem und auch das Source Code Repository werden automatisch chiffriert. Lokal gespeicherte Zugangsdaten etwa für Datenbanken oder SSH-Keys erhalten ebenfalls vollumfänglichen Schutz. Ebenso werden Logdateien beispielsweise von Applikationen sowie personenbezogene Daten bei Anmeldungen am System, Transaktionen und IP-Adressen verschlüsselt.
Während der Speicherung, im laufenden Betrieb und beim Zugriff bleiben alle Daten der VM auf dem Storage-System verschlüsselt. Das bietet umfassende Sicherheit und spart zusätzliche Kosten für die Verschlüsselung physischer Speichermedien. Selbst für den Fall, dass Unbefugte Zugriff auf das Speichermedium mit der verschlüsselten VM haben, ist das Lesen der Daten nicht möglich. Das gilt explizit auch für Datenbanken, die auf der VM laufen – teure Datenbankverschlüsselungen müssen für diesen Zweck nicht verwendet werden. Der Schutz wird nicht nur während des gesamten Betriebs der VM gewährleistet, sondern gleichfalls bei der Übertragung vom Speicherort zum Hypervisor beziehungsweise ESXi-Host.
Sichere Schlüsselablage
Der Einsatz eines KMS bei der Verschlüsselung von VMware-VMs bietet darüber hinaus den Vorteil, dass für die Schlüsselablage ein HSM zum Einsatz kommen kann, das in vielen Sicherheitsstandards gefordert und dem Stand der Technik zugerechnet wird. Der Key-Encryption-Key (KEK) gilt als kritisch, ist pro VM extern im KMS gespeichert und über Hardware-Security-Module geschützt. Damit sind die Speicherorte der VMs und der Schlüssel logisch voneinander getrennt. Das hat zur Folge, dass bei der Speicherung von VMs auf Wechseldatenträgern oder mobilen Datenträgern die VMs immer verschlüsselt bleiben und selbst der Verlust der Datenträger keine Gefahr für die Sicherheit der Daten darstellt. Die Datenträger können am Ende des Lebenszyklus leichter und den Maßgaben der datenschutzrechtlichen Vorgaben folgend entsorgt werden.
Neben der Verschlüsselung von VMs bietet VMware auch die Möglichkeit, sogenannte vSANs (Virtual Storage Attached Networks) mit dieser Methode zu schützen. Die Daten der virtuellen Speichernetzwerke, hinter denen sich die zugrundeliegenden physischen Festplatten verstecken, werden dadurch ebenfalls transparent verschlüsselt und geschützt. Ein weiterer Fall sind Anwendungen und Betriebssysteme, für die ein sogenanntes TPM (Trusted Plattform Module) vorausgesetzt wird, beispielsweise Windows 11. Beim Einsatz eines entsprechend konfigurierten KMS ist eine Virtualisierung dieser Systeme problemlos möglich. Zum Schluss bietet eine Standardschnittstelle Herstellerunabhängigkeit, sodass Anwendern weitere Verschlüsselungsoptionen zur Verfügung stehen. Das Verschlüsseln KMIP-basierter Datenbanken, von Tape-Drives oder auch weiterer Speicherumgebungen wird so auf Basis des installierten KMS zusätzlich möglich.
Verschlüsselung im RZ
Betreiber von internen oder externen Rechenzentren, die ein KMS für die VMware-Verschlüsselung einsetzen wollen, müssen bei der Auswahl zwei zentrale Aspekte beachten. Zunächst muss das KMS über eine aktuelle KMIP-Schnittstelle verfügen. Ohne diese ist die beschriebene Anbindung an das vCenter nicht möglich. Darüber hinaus sollte der Anbieter des KMS von VMware auf Kompatibilität zertifiziert worden sein (VMware Ready). Denn nur wenn diese Bedingung erfüllt ist, ist das reibungslose Zusammenspiel mit VMware möglich. Hierfür durchläuft das KMS ein umfassendes Testprogramm, das auf Testservern von VMware bereitgestellt wird. Eine entsprechende Kompatibilitätsliste von Herstellern hat VMware veröffentlicht [2].
In Bild 1 sind die beteiligten Komponenten für die Verschlüsselung einer VM dargelegt. Diese spielen dabei wie folgt zusammen: In der VMware-Umgebung stellt das vCenter die zentrale Komponente zum Management eines oder mehrerer vSphere-Hosts dar als Single Point of Management für alle vSphere-Hosts und VMs. Die Virtualisierungsplattform vSphere dient dem Hosten der VMs und umfasst mit ESXi den Hypervisor, der direkt auf dem physischen Server installiert wird und auf dem die VMs ausgeführt werden. Optional steht mit dem Cloud Director eine Software bereit, die die Verwaltung der VMs in der Cloud ermöglicht. Zudem erlaubt der Director, die Verschlüsselung der VMs oder der vSANs zu konfigurieren.
Die Security-Infrastruktur steht derweil auf zwei Säulen (Bild 2), dem HSM und dem KMS. Das Key-Management-System übernimmt dabei die Aufgabe, den Schutz sämtlicher kryptographischer Schlüssel über deren kompletten Lebenszyklus zu gewährleisten. Dafür ist jedoch unabdingbare Voraussetzung, dass es KMIP in Version 1.1 oder höher unterstützt. Das HSM hingegen dient als Sicherheitsanker des KMS. Es ist aus Sicht der VMware-Umgebung insofern transparent, als dass der vSphere-Server auschließlich mit dem KMS kommuniziert, während die Kommunikation mit dem HSM über das KMS erfolgt.
Ermöglicht das Zusammenspiel der Komponenten einen reibungslosen Betrieb, sollte jedoch idealerweise auch ein georedundanter Betrieb in zwei unabhängigen Rechenzentren in die Überlegungen mit einbezogen werden. Es gilt in diesem Zusammenhang zu beachten, dass die Redundanz der HSMs und des KMS sicherzustellen ist. Im Fall des KMS kann dies durch ein Postgres-Datenbank-Cluster erfolgen, das sich über beide Standorte erstreckt. Angebunden wird die Security-Infrastruktur über einen Loadbalancer, während an jedem Standort ein separates HSM zum Einsatz kommt. So ist selbst im Worst Case der laufende Betrieb aller VMware-Instanzen gesichert.
Fazit
Den Stand der Technik in der Cybersecurity erfolgreich umzusetzen, hängt von zahlreichen Faktoren ab. Für die Verschlüsselung von VMware-Instanzen bedeutet das, eine passende Infrastruktur, ein kompatibles Produkt sowie ausreichend Budget bereitzustellen. Doch Aspekte der Technik, des Know-hows und des nötigen Budgets spielen nicht mehr die alleinige Rolle. Vielmehr stellt sich die Frage, wenn eine Technologie vorhanden ist, in welcher Angebotsform passt sie am besten zu den potenziellen Anwendern, zumal deren Kreis dank gesetzlicher Regularien und der davon betroffenen Unternehmen jeder Größe stetig wächst?
Es gilt mehr denn je: Ein System muss einfach aufzusetzen und zu bedienen sein. Vor allem kleinere und mittelständische Betriebe besitzen das notwendige Know-how in der IT-Sicherheit entweder gar nicht oder nicht im erforderlichen Maß. Ein geeigneter cloudbasierter Ansatz wäre daher gerade für den Mittelstand, aber nicht nur für ihn, ein attraktives Angebot.