Мне нужно реализовать шифрование данных в нашей среде. По сути, у нас есть Hyper-V виртуальный сервер с именем FILER01, на котором работает Windows Server 2012, который имеет прямое соединение iSCSI с LUN на нашем DELL MD3200i iSCSI SAN. Этот виртуальный сервер настроен только для работы в качестве файлового сервера, и он представляет общую папку для репозитория документов, который доступен только для двух учетных записей служб (одна для нашего приложения управления документами для доступа и отображения файлов через свой веб-интерфейс, аналогичный в SharePoint, а другой - для учетной записи службы резервного копирования, которая выполняет резервное копирование файлов). Этот виртуальный сервер работает на сервере DELL R820 под управлением Server 2012 и имеет модуль TPM, встроенный в BIOS, хотя я не верю, что функциональность TPM может быть «передана» виртуальному серверу.
Несмотря на то, что наши серверы находятся в надежном и безопасном центре обработки данных, Рекомендации HIPAA (которые, как мне кажется, устарели), мы должны гарантировать, что данные, хранящиеся в SAN, зашифрованы при хранении. Я провел массу исследований, но, похоже, не могу найти лучший вариант защиты данных. Я смотрел на EFS, но изначально она была разработана для Windows 2000, поэтому я не знаю, делает ли это ее надежной или устаревшей. Я посмотрел на BitLocker, который изначально был разработан для сценария «потерянный ноутбук» и использовался только для защиты диска ОС. Только в Server 2012 BitLocker смог поддерживать iSCSI на диски с данными (без ОС), но я не знаю, достаточно ли он зрел для использования в такой корпоративной среде. Я также знаю, что есть и другие продукты (например, TrueCrypt), которые могут выполнять шифрование, но нам нужно знать, что все, что мы выберем, вызовет наименьшие накладные расходы на обработку и будет прозрачным для наших приложений (желательно без внесения каких-либо изменений в способ доступа нашего приложения к репозиторию).
Я хотел бы получить отзывы от всех, кто реализовал шифрование файлов данных в режиме ожидания в сети SAN в среде Hyper-V. Любой вклад приветствуется!
К вашему сведению, несмотря на то, что MD3200i поддерживает диски с самошифрованием, у нас их нет, и их замена была бы непомерно дорогостоящей (на данный момент).
EFS существует уже давно, это правда. Но он по-прежнему актуален, как никогда, и удовлетворяет рекомендациям HIPAA по шифрованию данных в состоянии покоя.
Также вы не упоминаете SQL, но для всех, кто сталкивается с этим вопросом, также обратите внимание на TDE (прозрачное шифрование данных) для шифрования данных SQL Server удобным для аудитора способом.