Proxmox Verschlüsselung
- Thread starter Lockslay
- Start date
Oder mit der PVE ISO als ZFS installieren und nachträglich mit ZFS Native Encryption verschlüsseln. Tutorials dafür findest du hier im Forum.
Ist immer die Frage warum man PVE verschlüsseln will. Wenn es nur um RMAs geht, dann gibt es ja durchaus Mölichkeiten wie sich PVE nach einem Reboot automatisch entschlüsselt. Entweder ein anderer Server der den PVE remote entsperrt. Oder keyfile auf einem USB Stick. Oder key in TPM ablegen etc.
Überlege dir gut, ob du native ZFS encryption verwenden willst. Denn leider geht dann die Replication nicht mehr -> https://bugzilla.proxmox.com/show_bug.cgi?id=2350#c19 für mehr details warum.
Was ist denn der Grund warum du das tun willst? Womöglich gibt es ja auch andere Alternativen.
Ich verfolge den Ansatz, dass Daten da verschlüsselt werden wo dies sinnvoll und nötig ist. Per se den kompletten Hypervisor dicht machen, sich dadurch Nachteile wie die fehlende Replication oder Performanceverluste für das gesamte System einzufahren halte ich da für wenig Sinnvoll. Sicherlich kann wie von @Dunuin angesprochen eine RMA der Grund sein, wer aber viel Wert auf die Sicherheit der Daten auf dem Hypervisor legt wird diesen Datenträger physisch vernichten und nicht in die RMA schicken. Oftmals bieten Hersteller auch Schablonen zum durchbohren an, womit die RMA weiterhin möglich ist. Ansonsten gehören auf die Datenträger keine sensiblen Daten.
Insbesondere sollte dein Wunsch nach Verschlüsselung auch ein entsprechendes Backup beinhalten, im besten Fall werden die Daten unverschlüsselt abgezogen und mit einem anderen Verfahren als Backup gespeichert um zu vermeiden, dass ein Software Bug oder ähnliches dir alle Daten korrumpiert.
Generell gehört eigentlich ein gescheites Konzept dazu, denn alles was du auf HV Ebene machst, kann beim Export schon nicht mehr vorhanden sein. Beispielsweise wird die Storage Migration auf eine andere Node oder Storage zwangsläufig wohl zur Entschlüsselung der Daten führen, eben auch ggf. bei Backups über vzdump / PBS (da hängt es davon ab, wie die Daten im Detail gelesen werden, wenn aber die Verschlüsselung generell nur für das Volume gilt und nicht innerhalb der virtuellen Disk ist, wird es wahrscheinlich unverschlüsselt gespeichert).
Eine Verschlüsselung innerhalb der VM hingegen bleibt dir stetig erhalten, ganz gleich was du mit der VM machst. Außer natürlich ein Filebackup direkt aus der VM heraus.
Es mag sich jetzt sicherlich alles komplex und überzogen anhören, aber Verschlüsselung bringt dir eben nun mal den größten Nachteil, dass du auch im Fehlerfall nicht mehr ohne weiteres an deine Daten kommst, daher sind unabhängige Backups noch mal deutlich wichtiger. Der einfache Weg ist natürlich einfach den Hypervisor zu verschlüsseln, aber eben auch der gefährlichste aus meiner Sicht, zumindest dann, wenn es keine entsprechenden Konzepte gibt.
Hallo zusammen,
danke für die unterschiedlichsten Meinungen.
Meine Backups werden ebenfalls verschlüsselt auf den PBS geladen.
Nur zum Verständnis, wenn ich die verschlüsselten Backups von einem PBS auf einen neuen PVE laden möchte, müsste das doch mit den passenden Keys gehen, oder habe ich das falsch verstanden?
danke für die unterschiedlichsten Meinungen.
Meine Backups werden ebenfalls verschlüsselt auf den PBS geladen.
Nur zum Verständnis, wenn ich die verschlüsselten Backups von einem PBS auf einen neuen PVE laden möchte, müsste das doch mit den passenden Keys gehen, oder habe ich das falsch verstanden?
Ja natürlich. Du musst den Key sichern und wenn du auf einem neuen PVE den Restore machen möchtest, brauchst du den Schlüssel. Dann läuft alles wieder.