Verschlüsselte VM in VMware Workstation 9. Wie?

[Cr4sh0v3rr1d3]

Ich habe VMware Workstation 9 im Einsatz und möchte eine verschlüsselte VM angelegen.

Dafür gibts 3 Möglichkeiten:

1. Über die Verschlüsselung in VMware selber (AES256)
2. Die Festplattendatei in einen Truecrypt Container ablegen
3. Truecrypt in der VM installieren und dort das Betriebssystem verschlüsseln

Welche Vor- und Nachteile gibts und welches ist die beste Option? Wie habt ihr das im Einsatz?

Hier gabs schonmal 2010 einen Thread, da wurde drauf hingewiesen, dass die VMware eigene Verschlüsselung nur AES128 wäre. Keine Ahnung welche Version das war, aber die 9er hat definitiv auch AES256.

Bei der Container Variante könnte ich mir nur vorstellen, dass wenn VMware irgendwas schneller startet als der Container offen ist, es Fehlermeldung hinsichtlich der fehlenden Festplattendateien gibt.

 

[flo36]

1. Gute Variante aber eventuelle Sollbruchstelle durch VmWare.
2. Da Truecrypt als sehr sicher und ausgereift gilt die wahrscheinlich beste Option.
3. Die Verschlüsselung muss von der VM erledigt werden und ich weiß nicht ob die Emulierte CPU nicht was anderes zu tun hat als AES zu berechnen. AES-NI bzw. AMD gegenstück wird meines Wissens nicht in die VM durchgeleitet.

Vorraussetzung für gute Performance von 1 und 2 ist jedoch der Entsprechende AES-NI Befehlssatz in der CPU und das die Software diesen auch nutzt.

 

[1668mib]

Naja... ich hab bei einem i2390T eine Hyper-V-Maschine, die Konsequenz ist, dass der Host auch kein AES-NI nutzen kann, und mache Variante 2, und schaffe da dennoch über 70 MB/s an Übertragungsraten auf den HDDs im virtualisierten System...

Ärgert mich zwar, dass AES-NI nicht geht in meiner Config, aber AES-NI ist auch kein echtes Must-Have...

 

[blöderidiot]

Was sind die Host- und Client-Betriebssysteme?

 

[zwieback_shakur]

würde das zweite nehmen

Bei der Container Variante könnte ich mir nur vorstellen, dass wenn VMware irgendwas schneller startet als der Container offen ist, es Fehlermeldung hinsichtlich der fehlenden Festplattendateien gibt.

diese bedenken halte ich für aus der luft gegriffen

 

[davidbaumann]

Am besten ist meiner Meinung nach die Linux-Eigene Verschlüsselung im Gastsystem. Bei den 2 Möglichkeiten mit TrueCrypt braucht die VM nämlich den kompletten Speicher. Meine verschlüsselten VMs brauchen nur so viel, wie belegt ist.
Habe auf meinem I7 Laptop (3. Generation) keine spürbaren Verzögerungen durch die Verschlüsselung.

Gruß.

 

[Cr4sh0v3rr1d3]

Hostsystem wäre Windows 7.

Stimmt auch wieder. Thin Provisioning geht ja dann nicht mehr. Bei der VMware Verschlüsselung würde es weiterhin funktionieren.

 

[davidbaumann]

Geht um den Gast. Welches os?

Gruß

 

[d4nY]

AES-NI bzw. AMD gegenstück wird meines Wissens nicht in die VM durchgeleitet.

Beim ESXi werden sie definitiv durchgereicht, also denke ich, dass es bei der workstation genauso ist.

Bei den 2 Möglichkeiten mit TrueCrypt braucht die VM nämlich den kompletten Speicher. Meine verschlüsselten VMs brauchen nur so viel, wie belegt ist.

sowohl truecrypt, als auch die workstation bieten doch beide thin-provisioning an...wieso sollte das also nicht gehen?

 

[=DarkEagle=]

Damit kein neues Thema eröffnet wird, stelle ich meine Frage hier. Hier passt es ;-)

Ich überlege auch gerade virtualisierte Systeme zu verschlüsseln:
Nehmen wir die CPU hat unendlich viel Ressourcen: Wie stark bricht in einer VM die IO-Performance bei einer normalen HDD ein, wenn das das virtuelle System verschlüsselt wird?