Encrypting guest VM ESXI 6.5 com o Bitlocker

1

Oi, estamos trabalhando com o ESXI em alguns R710s antigos. Para o nosso ambiente de desenvolvimento, tudo ficará bem. O R710 tem um TPM. Tentei criptografar a VM com o Bitlocker, mas não consegui ver o TPM. Eu suponho que o ESXI não possa vê-lo. Eu estava pensando em talvez Veracrypt. Nossos principais requisitos são:

  • Máquinas Windows criptografadas (embora também pudéssemos estar usando o Linux).
  • Minha principal preocupação é garantir que os discos sejam descartados, talvez acidentalmente, nada será neles.
  • Digitar senha ao inicializar não é um problema para nós, já que é um dev ambiente.

Então, minhas perguntas são:

  • Estou certo em supor que o ESXI não consiga ver o TPM.
  • Veracrypt é viável na VM - eu sou novo em usá-lo em um virtual ambiente, por isso não tenho a certeza de possíveis problemas a longo prazo. Vou experimentar hoje à noite em uma VM de teste.
  • É o ESXI v6.5, então há algum suporte de criptografia, mas estamos atualmente usando a versão gratuita e os tutoriais parecia bastante complicado e destinado a um ambiente mais profissional.

Todas as sugestões alternativas são bem vindas. Felicidades, Chris.

    
por user1102550 28.02.2017 / 19:24

2 respostas

2

Se você está no 6.5, por que não usar apenas a criptografia de VM do vSphere nativa?

link

Encryption of virtual machines is something that’s been on-going for years. But, in case you hadn’t noticed, it just hasn’t “taken off” because every solution has a negative operational impact. With vSphere 6.5 we are addressing that head on.

Encryption will be done in the hypervisor, “beneath” the virtual machine. As I/O comes out of the virtual disk controller in the VM it is immediately encrypted by a module in the kernel before being send to the kernel storage layer. Both VM Home files (VMX, snapshot, etc) and VMDK files are encrypted.

    
por 28.02.2017 / 19:34
1

Das principais opções que escolhemos para VeraCrypt

  • confiando em manter uma chave em um pendrive, seja física ou de algum tipo de coisa virtual parecia derrotar a idéia de fazer uma enciclopédia. E se o O stick USB é roubado, etc.
  • A criptografia nativa do ESXI precisa de um servidor para conter as chaves - veja este postar link , que parecia um pouco além de nós devs!
  • Veracrypt é simples e requer apenas que alguém digite a senha na inicialização. Para nosso cenário, que é hospedar servidores UAT, etc. apoiar o nosso desenvolvimento local, este foi um compromisso aceitável. A reinicialização autônoma, no nosso caso, não foi um problema.
por 02.03.2017 / 14:23