máquinas virtuais e criptografia

Navegue suas respostas
1

Eu suspeito que eu sou um pouco offtopic com a missão do site, mas parece-me mais adequado para a pergunta do que stackoverflow

Estou me preparando para criar um vm com dados sensíveis (uso pessoal, será um appliance web + mail + ...), eu gostaria de proteger os dados mesmo com criptografia; a escolha final tem que ser multi-plataforma para o host

Basicamente, eu tenho que escolher entre criptografia em nível de sistema de convidado (digamos, dm-crypt ou similar) ou criptografia em nível de host com truecrypt.

você acha que a abordagem "truecrypt-volume contido em discos virtualizados" atingirá o desempenho de i / o da vm seriamente (e, portanto, abordagens semelhantes a dm-crypt na vm seria melhor), ou é possível?

Gostaria de proteger todos os dados dos hóspedes, não apenas os meus dados pessoais, para poder suspender a vm livremente sem se preocupar com a partição swap, etc.

    
por Unknown 30.11.2011 / 07:16

2 respostas

2

Eu teria que discordar respeitosamente de Tim e recomendar o uso do Truecrypt. Criptografe o sistema operacional host e deixe as máquinas virtuais não criptografadas. Truecrypt é multiplataforma e, no pior dos casos (como falha do sistema operacional), você pode montar o seu volume Truecrypt a partir de qualquer sistema operacional suportado .

Isso tem algumas vantagens:

  • Suas VMs não desperdiçarão recursos preciosos de CPU / memória gerenciando sua própria criptografia
  • As VMs serão criptografadas de ponta a ponta (incluindo arquivos de permuta) de forma invisível para o sistema operacional convidado
  • Você obtém toda a vantagem da criptografia total do sistema

Da minha experiência, o desempenho da Truecrypt é insignificante (cerca de 5-10%), e a VMware não irá sofre uma penalidade ao manipular E / S de disco em um VMDK.

    
por 30.11.2011 / 08:18
1

Você deve estar olhando para a criptografia de disco completo de algum tipo dentro do seu sistema operacional convidado. Isso protegerá sua VM enquanto estiver em repouso, mas não quando suspensa ou em execução.

O nível do host é melhor, pois ele soluciona seu problema de estado suspenso, mas você está perdendo sua compatibilidade entre sistemas operacionais. Também será mais provável que esteja fora do seu controle.

Eu gostaria de sugerir investigar o VMware ACE. Existe um método de criptografia nativa disponível lá. Existem problemas potenciais com a redistribuição nessa rota.

    
por 30.11.2011 / 07:35

Tags

Como você encontra a interface atual da rede de internet? Postfix / Dovecot não usa pam_mkhomedir