Unterschied zwischen „Shielded VM“ und „Encryption Supported VM“

Die Unterschiede zwischen einer „Shielded VM“ und einer „Encryption Supported VM“ sind nicht sehr groß. Beide verwenden als Schutzmechanismus die Verschlüsselung, beide setzen auf Virtual Trusted Platform Module (VTPM), um Bitlocker sicher zu betreiben und beide nutzen einen gehärteten „VM Worker Process“ (VMWP.exe). Damit wird auch die Live Migration und die Zustandsinformation verschlüsselt. Als Unterschiede sind zu nennen, dass bei einer „Shielded VM“ noch andere Restriktionen ins Spiel kommen: Es gibt hier keinen Zugriff über eine lokale Konsole, es gibt keinen „Powershell Direct“-Zugriff, keine unsicheren virtuellen Geräte.

Dagegen sind bei einer „Encryption Supported VM“ all diese Einschränkungen standardmäßig nicht aktiviert. Allerdings lassen sie sich bei Bedarf einschalten.

Daher lautet die Empfehlung: Eine „Shielded VM“ sollte zum Einsatz kommen, wenn man den Administratoren nicht vertraut. Dagegen sollte man die „Encryption Supported VM“ nehmen, wenn man den Administratoren zwar vertraut, aber die Verschlüsselung einsetzen will, um bestimmten Vorgaben – sozusagen aus Compliance-Gründen – zu entsprechen. Das ist zum Beispiel in einer Private Cloud der Fall. Und man kann komfortable Dinge – wie der Zugriff über die Konsole oder über „Powershell Direct“ noch beibehalten.

Wenn man das einstellen will und man bereits einen „Key Protector“ hat, dann ist der Unterschied zwischen „Shielded VM“ und „Encryption Supported VM“ lediglich ein Wort:

Set-VMKeyProtector -VMName $VMName -KeyProtector $KP.RawData
Set-VMSecurityPolicy -VMName $VMName -Shielded <$true for shielded or $false for encryption supported>
Enable-VMTPM -VMName $VMName

Alles andere bleibt gleich. (rhh)