Se você está procurando uma solução de criptografia de volume total ideal , não conheço uma. Uma solução ideal forneceria criptografia no nível de host / armazenamento. Isso é fácil de fazer com o Hyper-V, mas não tanto com o ESX. Surpreende-me que a Microsoft não use isso mais no marketing do Hyper-V, mas a realidade é que esse cenário demonstra como a segurança é importante para a maioria das organizações / fornecedores quando se trata de tomar decisões - não tão importante quanto a conversa.
Quando a Microsoft e a VMWare dizem que não oferecem suporte, o que eles querem dizer é que você não deve usar o BitLocker no nível de convidado, pois não é uma solução ideal. Isso ocorre porque é possível obter um instantâneo da memória de um convidado usando um utilitário como o vss2core.exe, que pode facilitar o ataque às chaves de criptografia. Não trivial, mas definitivamente algo que um adversário determinado poderia fazer.
Caso contrário, o BitLocker funciona bem em um convidado. Uma ressalva é que você não deve usar discos de expansão dinâmica devido a 2008 R2 criptografará todos os dados e maximizaria instantaneamente o seu disco. Você pode até colocar a chave de inicialização (não a chave de recuperação) em um disquete virtual ou na partição do sistema para ativar a inicialização autônoma. Observe que a chave de inicialização não habilita a recuperação (descriptografia) dos dados. Você também precisa habilitar uma configuração de GPO para "Exigir autenticação adicional na inicialização", pois, por padrão, você precisa de um chip TPM para habilitar o BitLocker para um volume do sistema operacional.