Назад | Перейти на главную страницу

Как я могу зашифровать сервер 2008, работающий под esxi

Мне нужно запустить несколько виртуальных машин 2008 R2 под бесплатным esxi. Хранилище будет локальным для хоста. Насколько я понимаю, BitLocker не поддерживается в среде виртуальных машин ни с точки зрения Microsoft, ни с точки зрения VMware.

Какие у меня варианты?

Если вы ищете оптимальный решение для полного шифрования, я не знаю ни одного. Оптимальное решение - обеспечить шифрование на уровне хоста / хранилища. Это легко сделать с Hyper-V, но не с ESX. Я удивлен, что Microsoft не использует это больше в маркетинге Hyper-V, но реальность такова, что этот сценарий, к сожалению, демонстрирует, насколько важна безопасность для большинства организаций / поставщиков при принятии решений - не так важно, как разговоры.

Когда Microsoft и VMWare заявляют, что не поддерживают его, они имеют в виду, что вы не должны использовать BitLocker на гостевом уровне, поскольку это не оптимальное решение. Это связано с тем, что можно получить моментальный снимок гостевой памяти с помощью такой утилиты, как vss2core.exe, которая может облегчить атаку на ключи шифрования. Не тривиально, но определенно на что способен решительный противник.

В противном случае BitLocker хорошо работает на гостевой системе. Одно предостережение: вы не должны использовать динамически расширяющиеся диски, поскольку 2008 R2 зашифрует все данные и мгновенно загрузит ваш диск до максимума. Вы даже можете поместить ключ запуска (не ключ восстановления) на виртуальную дискету или системный раздел, чтобы включить автоматический запуск. Обратите внимание, что ключ запуска не включает восстановление (или расшифровку) данных. Вам также необходимо включить параметр GPO для «Требовать дополнительной проверки подлинности при запуске», поскольку по умолчанию вам нужен чип TPM для включения BitLocker для тома операционной системы.