Isso não parece possível em geral sem o uso de hardware dedicado.
Se um invasor puder clonar o disco rígido e inicializar a imagem na virtualização, quando o sistema for inicializado, nunca poderá ter 100% de certeza se ele está sendo executado no hardware real ou não.
Se o seu servidor tiver um TPM de hardware, você poderá usar um gerenciador de inicialização modificado como TrustedGRUB ou tboot para que as chaves de criptografia da unidade sejam armazenadas no TPM e só sejam divulgadas se puder verificar se o sistema operacional não foi adulterado. O TPM em si não deve ser clonável.
Se você quiser apenas se defender contra alguém que rouba o HD, cloná-lo e colocá-lo de volta no lugar, armazenar a chave no TPM e lê-la na inicialização pode ser suficiente e, nesse caso, você não precisa de confiança bootloader, apenas uma pilha de software TPM userland como TrouSerS.
No entanto, isso é inseguro se o atacante toma o HD, clona, modifica a seqüência de inicialização para vazar as chaves em algum lugar e coloca de volta o HD modificado. Para se defender contra esse novo ataque, você realmente precisa executar um bootloader confiável.
Se você escolher essa solução, não se esqueça de fazer backup das chaves para algum armazenamento off-line seguro. Caso contrário, será difícil recuperar suas unidades se a placa-mãe ou o TPM falhar.