Criptografia de dados do convidado Hyper-V

Navegue suas respostas
2

Eu tenho um novo requisito para criptografar os dados dentro de um banco de dados sql enquanto está em repouso.

Até agora eu olhei para o Bitlocker (veja abaixo), e outros produtos comerciais (não vou nomear porque eu não estou procurando por este produto é melhor resposta). Eu também olhei para SQL Transparent Data Encryption.

TDE parece ser a opção mais fácil, mas dado o preço para sql é muito alto quando se olha para usar 6 núcleos. Fui solicitado a encontrar outras opções.

A principal questão que eu tenho é sobre o Bitlocker e seu uso dentro de um convidado hyper-v e no host hyper-v.

Primeiramente, o Bitlocker pode ser usado dentro de um convidado hyper-v, 50% dos posts que eu encontrei dizem que ele não é suportado pelos outros dizem que é?

Também devo usá-lo no nível de host hyper-v? Aqui é onde as coisas ficam um pouco confusas para mim. Se eu ativar no volume de inicialização, sim, o host não pode ser inicializado sem uma senha de inicialização (uma opção), mas isso não criptografa os dados no armazenamento compartilhado, e suponho que não posso criptografar os volumes iSCSI porque eles são compartilhados entre vários nós em nosso cluster do hyper-v. O que torna inútil, porque se alguém roubar o dispositivo de armazenamento, poderá ler os dados.

    
por Drifter104 25.06.2015 / 11:15

1 resposta

2

O BitLocker pode ser ativado no nível do host. O host pode iniciar sem intervenção, desde que o servidor tenha um chip TPM (qualquer hardware de servidor decente nos últimos cinco anos tem um chip TPM). A Microsoft adicionou suporte ao BitLocker para volumes CSV no Windows Server 2012.

No momento, o BitLocker em um convidado não é suportado pela Microsoft. É possível, mas para ativar a inicialização automática sem intervenção, é necessário armazenar a chave de inicialização (não a mesma que a chave de recuperação) em uma partição local. Isso também não é tão seguro quanto exigido em alguns cenários, porque se o host for comprometido, o convidado poderá ser iniciado e as chaves de criptografia atacadas na memória (ou a partir de um despejo de memória do convidado).

Vale a pena mencionar que o Hyper-V 2016 finalmente fornecerá um recurso do Virtual TPM.

Como configurar os discos clusterizados criptografados do BitLocker no Windows Server 2012
link

    
por 25.06.2015 / 14:24

Tags

Download de arquivo inesperado Lentidão após ativado SPDY no Nginx Como aplicar configurações de proxy por computador apenas para um grupo de computadores específico?