cat-scvmm

Distributed Key Management (DKM) in System Center Virtual Machine Manager 2012

VIRTUAL MACHINE MANAGER

Die VMM Database beinhaltet viele Informationen, einige davon sind weniger kritisch, andere können durchaus sensitive Daten beinhalten, wie zum Beispiel Passwörter von Administratoren und Produkteschlüssel. Damit diese Information nicht einfach aus der Database, oder einer Kopie davon, ausgelesen werden können, werden diese durch VMM verschlüsselt. Per Default wird der dazu erforderliche Encryption Key auf dem lokalen VMM Server gespeichert. Dadurch entsteht allerdings die Situation, dass kein weiterer Server auf die Datenbank zugreifen kann.

Encryption Keys in SCVMM

Bis und mit SCVMM 2008 R2 wurden die Encryption Keys immer auf dem lokalen VMM Server gespeichert. Für die Verschlüsselung wird die “Windows Data Protection API” (DPAPI) mit einem starken Triple-DES Algorithmus und Keys eingesetzt. Doch solange die Encryption Keys nur auf dem lokalen VMM Server gespeichert werden, kann zum Beispiel kein VMM Cluster konfiguriert werden. Auch ein VMM Server Recovery ist mit lokalen Encryption Keys eher umständlich, wie ein früherer Artikel zeigt.

In SCVMM 2012 wurde mit Distributed Key Management (DKM) daher ein neues Konzept eingeführt. Damit lassen sich die Encryption Keys in Active Directory speichern, damit nun mehrere VMM Server auf die Keys zugreifen können. Dadurch wird auch der Einsatz von Failover Cluster ermöglicht (HA VMM Server).

Während der Installation kann noch immer zwischen den beiden Optionen gewählt werden:

  1. DPAPI: Die Encryption Keys werden auf dem lokalen VMM Server gespeichert.
  2. DKM: Encryption Keys werden in Active Directory gespeichert

In diesem Artikel geht es um Option 2), das Distributed Key Management (DKM).

Vorbereitung

Damit DKM eingesetzt werden kann, müssen einige Vorbereitungen getroffen werden. In Active Directory sollte dazu ein spezifischer Container definiert werden:

  1. ADSIEdit.msc starten
  2. Unterhalb “CN=System” ein neues Object anlegen
    • Class: Container
    • Name: SCVMM
  3. Den distinguishedName kopieren, zum Beispiel “CN=SCVMM,CN=System,DC=private,DC=cloud”

Da auch andere System Center Produkte (wie zum Beispiel SCCM) Daten in den “System” Container ablegen, bietet sich dieses Konzept auch für SCVMM an.

Installation

Die Installation erfolgt im Prinzip gleich. Einzig bei der Option „Configure service account and distribution key management“ muss explizit die Option “Store my keys in Active Directory” gewählt und der zuvor kopierte distinguishedName eingefügt werden.

Der Account welcher den VMM Setup ausführt muss über die Rechte ”Read”, “Write”, “Create all child objects”, wie auch “Modify Owner” verfügen. All diese Berechtigungen müssen für “This object and all descendant objects” erteilt werden. Alternativ kann auch, wie im TechNet Artikel beschrieben, “Full Controll” delegiert werden.

Zum Thema Sicherheit

Wie sicher ist die Konfiguration der Encryption Keys in Active Directory? Theoretisch sehr sicher, sofern das AD auch entsprechend gesichert ist.

VMM selbst erstellt in der vorgegebenen Struktur einen weiteren Container, “DKM_SCVMM_MyVMMServer_MyGUID”. Da darin die Encryption Keys gespeichert sind, werden die Berechtigungen ab diesem Level angepasst damit nicht sämtliche “Authenticated Users” den Inhalt auslesen könnten. Folgende Einstellung wird automatisch durch VMM vorgenommen:

User Berechtigung
SELF N/A
SYSTEM Full Control
Setup Account (z.B. Administrator) Full Control
Service Account (z.B. svc-scvmm) Full Control
Domain Admins Full Control
Enterprise Admins Full Control
Administrators Special
ENTERPRISE DOMAIN CONTROLLERS Special

Durch diese Anpassung der ACL bleibt der Zugriff auf die Description Keys geschützt.

Best Practice

DKM wird hauptsächlich für HA VMM Server eingesetzt. Durch das vereinfachte Recovery bei Standalone Konfigurationen empfiehlt es sich DKM generell einzusetzen. Nachteile gibt es bei der AD Integration keine.

Auch sollte nach wie vor ein dedizierter Service Account eingesetzt werden.

Weitere Informationen

Active Directory , SCVMM

, , ,

About the Author

Michel Luescher ist bei Microsoft Corporation als Architect im Center of Excellence (CoE) für Modern Datacenter tätig. Als technischer Berater fokussiert er sich auf die Planung und Umsetzung von Projekten mit dem Fokus auf Microsoft Cloud Lösungen für Datacenter im Enterprise und Service Provider Umfeld. { Hyper-V + System Center + Windows Azure = Your Cloud }.

Comments (1)

Hinterlasse eine Antwort.

Migration auf System Center Virtual Machine Manager 2012 Windows 8 is coming…