У меня есть новое требование - зашифровать данные внутри базы данных sql, пока она находится в состоянии покоя.
Пока я смотрел на Bitlocker (см. Ниже) и другие коммерческие продукты (я не буду называть, потому что я не ищу этот продукт, это лучшие ответы). Я также рассмотрел прозрачное шифрование данных SQL.
TDE кажется довольно простым вариантом, но, учитывая, что цена на sql очень высока при использовании 6 ядер. Меня попросили найти другие варианты.
Основной вопрос, который у меня есть, касается Bitlocker и его использования в гостевой системе Hyper-V и на хосте Hyper-V.
Во-первых, можно ли использовать Bitlocker в гостевой системе Hyper-V, 50% сообщений, которые я нашел, говорят, что он не поддерживается, другие говорят, что это так?
Также следует ли использовать его на уровне хоста Hyper-V? Вот здесь все становится для меня немного нечетким. Если я включу на загрузочном томе, то да, хост не может быть загружен без пароля запуска (один вариант), но это не шифрует данные в общем хранилище, и я предполагаю, что не могу зашифровать тома iSCSI, потому что они распределяются между несколькими узлами в нашем кластере Hyper-V. Что затем делает это бессмысленным, потому что, если кто-то украдет устройство хранения, он сможет прочитать данные.
BitLocker можно включить на уровне узла. Хост может запускаться без вмешательства при условии, что на сервере есть микросхема TPM (любое достойное серверное оборудование за последние пять лет имеет микросхему TPM). Microsoft добавила поддержку BitLocker для томов CSV в Windows Server 2012.
BitLocker в гостевой системе в настоящее время не поддерживается Microsoft. Это возможно, но для включения автоматического запуска без вмешательства необходимо сохранить ключ запуска (не такой, как ключ восстановления) в локальном разделе. Это также не так безопасно, как требуется в некоторых сценариях, потому что, если хост будет скомпрометирован, гость может быть запущен, а ключи шифрования будут атакованы в памяти (или из дампа памяти гостя).
Возможно, стоит упомянуть, что Hyper-V 2016 наконец-то предоставит функцию виртуального TPM.
Как настроить зашифрованные кластерные диски BitLocker в Windows Server 2012
http://blogs.msdn.com/b/clustering/archive/2012/07/20/10332169.aspx