Шифрование гостевых ОС на ESXi 6?

Question

[brar]

Добрый день.
1. Есть ли смысл шифровать виртуальные машины, если сам ESXi незашиврован? Может ли злоумышленник, получив физический доступ к esxi-серверу, получить доступ к зашифрованной виртуальной системе?
2. Если у кого есть опыт, подскажите, насколько падает производительность гостевой системы? Есть ли глюки у шифрованных виртуальных ОС на esxi? Если используются VeraCrypt (для винды) и dm-crypt (для линуксов).

Answer 1

[athacker]

если сам ESXi незашиврован?

А что такое "сам ESXi зашифрован?" Что конкретно вы в нём собрались шифровать?

Может ли злоумышленник, получив физический доступ к esxi-серверу, получить доступ к зашифрованной виртуальной системе?

Смотря в каком состоянии этот сервер будет находиться в момент получения физического доступа. Если в выключенном -- то шансов практически нет что-то с дисков вытащить (предполагется, что ключи шифрования у вас разные на всех машинах, достаточно сложные и не написаны на бумажке, приклеенной к этому серверу). Если во включенном -- кое-какие данные можно вытащить. Сделав, например, снапшот вместе с содержимым оперативки ВМ, и порывшись в этой самой оперативке -- что-то из кэшей и прочих подобных мест в RAM да наловят.

Answer 2

[Станислав Бодро́в]

Есть ли смысл шифровать виртуальные машины, если сам ESXi незашиврован

Рассуждай сам. Взяли и просто клонировали твою систему. Пароль привилегированного пользователя перебить достаточно просто. Хотя это делать не нужно. Нужны определённые данные: файлы приложения, база данных, логи - это всё стаскивается с диска довольно легко. Теперь считай потери от того что твои данные полностью ушли.

может получить доступ к зашифрованной виртуальной системе

По идее нет. Но самолично хочу это перепроверить.

Если у кого есть опыт, подскажите, насколько падает производительность гостевой системы?

Давно это было. На те года падение было в районе от 15% до 35%. Многое зависит от того как приложения работают с диском.

Comments

[brar]

В том то и дело, что хочется зашифровать виртуалки, но при этом, если злоумышленник завладеет сервером физически, быть спокойным, что он не вскроет виртуалки. В трукрипте загрузочная запись зашифрована хэшем, насколько помню. А вот boot раздел для dm-crypt - нет (по-моему).

[Anton Zubkov]

Для шифрования ВМ в vSphere возможно только при наличии KMS сервера.

Пароль привилегированного пользователя перебить достаточно просто.

Не просто! И если нет доступа к серверу KMS и ключам, то украденная ВМ или сервер становится полностью бесполезным.

[athacker]

antonzubkoff, учитывая, что речь про VeraCrypt и dm-crypt, товарищ имеет в виду гостевое шифрование, а не шифрование средствами Вари.

[Anton Zubkov]

athacker, согласен. Тогда упоминание VMware тут совсем неуместно. С Вашим комментарием ниже согласен. Добавить нечего.

[Станислав Бодро́в]

kinvlad, давай рассуждать. Есть гостевая система вида:
незашифрованный раздел с загрузчиком в /boot.
зашифрованный LVM со своими разделами (swap желательно тоже шифровать, иначе ОС задолбит сообщениями, что в подкачке лежат нешифрованные данные).
Ты запускаешь её, указываешь пароль, чтобы продолжить загрузку системы. Если всё верно загрузка продолжается и система работает в штатном режиме. Теперь вопрос. Как происходит клонирование на esxi?

[athacker]

Станислав Бодро́в, клонирование на ESXi происходит так же, как и не на зашифрованных виртуалках -- клонируется содержимое виртуального диска (содержимое которого зашифровано драйвером). Так что с этой стороны риска нет.