Estou executando máquinas virtuais do Linux em um provedor de nuvem. Então, efetivamente, o disco é um arquivo VHD. A máquina terá algumas informações confidenciais no disco, como certificados, senhas ... Eu gostaria de criptografar uma parte (ou todas) do disco para que, no caso de alguém colocar as mãos no arquivo VHD, elas não possam recuperar as informações privadas. Naturalmente, como o servidor pode ser reinicializado a qualquer momento pelo provedor de nuvem (atualização de segurança, migração para um host físico diferente, etc ...), pedir uma senha na inicialização não é uma opção.
Como posso conseguir isso, se isso for possível?
Não. Isso não é possível. A segurança física sempre supera a segurança lógica. Hospedando em The Cloud ™ você desistiu da segurança física e está à mercê das medidas de segurança do provedor de hospedagem. A única medida possível que você pode fazer seria uma senha de inicialização (essencialmente movendo o mecanismo de segurança de volta ao seu controle físico).
Uma das opções é colocar todas as informações confidenciais em uma partição criptografada (no disco virtual). Esta partição não deve ser montada no momento da inicialização, obviamente. Além disso, nenhum serviço que precise dessa informação deve ser iniciado também.
No final de uma reinicialização, você precisará fazer o login e montar a partição criptografada. Depois disso, inicie os serviços de que você precisa.
Pode não ser o melhor caminho, mas deve funcionar em alguns casos.