vSphere Trust Authority

Mir kannst du vertrauen

Mit vSphere 7.0 und Trust Authority hat VMware seine Sicherheitsarchitektur in großen Teilen überarbeitet und auf Gebiete jenseits der VM-Verschlüsselung erweitert. Mit Trust Authority lassen sich Dienste mit besonders hohem Schutzbedarf so einrichten, dass sie nur auf sicheren Hosts laufen, denen die gesamte Umgebung vertraut. Dies erfordert zwar den Aufbau neuer Komponenten in der Virtualisierungsinfrastruktur, soll aber dank TPM und Zertifikaten für maximale Sicherheit sorgen.
Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet ... (mehr)

Virtuelle Maschinen waren in vSphere schon vor Version 7 gut geschützt und selbst hier hat VMware mit der neuesten Ausgabe seines Hypervisors noch optimiert. Doch mit vSphere Trust Authority wendet sich der Anbieter der Absicherung der zugrundeliegenden Infrastruktur zu und hat dafür bestehende Funktionen verbessert. Trust Authority (vTA) soll garantieren, dass nur sichere Hosts mit gesicherter Konfiguration in der Lage sind, verschlüsselte VMs zu hosten. Die zentrale Erweiterung besteht darin, dass vSphere nun auch die Hardware betrachtet.

Die vSphere Trust Authority ist ein Framework zur Erhöhung der Sicherheitsstandards in einer vSphere-Infrastruktur und dient zur Absicherung der virtuellen Infrastruktur an sich und der darin tätigen Workloads. Trust Authority ermöglicht dem Administrator, besonders sicherheitsrelevante Workloads auf Hosts zur Verfügung zu stellen, die einen hohen Sicherheitsstandard haben, um einen ungewollten Zugriff zu unterbinden. Es geht dabei nicht um eine Sekt-oder-Selters Strategie: Sie können dediziert auf Basis jeder einzelnen virtuellen Maschine festlegen, ob sie auf einem entsprechend hoch abgesicherten Cluster laufen soll oder auf einem Cluster, der nicht diesen hohen Sicherheitsanforderungen entspricht.

VMware hat dafür die Kommunikationswege zum Teil geändert, damit sich auch ein vCenter-Server absichern lässt. Der Key-Management-Server (KMS) kommuniziert nun nicht mehr mit dem vCenter, sondern mit dem vTA-Cluster. Dieser wiederum überträgt die Informationen an die attestierten ESXi-Hosts, alle anderen Hosts bekommen diese Informationen nicht.

Trust Authority und TPM regeln, was auf dem Host läuft

Die Basis dafür bietet das Trusted Platform Module (TPM). Dieses enthält erweiterte Sicherheitsfunktionen, die einen Server eindeutig identifizieren – quasi ein Fingerabdruck für den ESXi-Host. VMware setzt hier mindestens die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021