Hyper-V 來賓數據加密
我有一個新的要求,即在 sql 數據庫處於靜止狀態時對其進行加密。
到目前為止,我已經查看了 Bitlocker(見下文)和其他商業產品(我不會命名,因為我不是在尋找這個產品的最佳答案)。我還查看了 SQL 透明數據加密。
TDE 似乎是一個相當簡單的選擇,但考慮到使用 6 核時 sql 的定價非常高。我被要求尋找其他選擇。
我的主要問題是關於 Bitlocker 及其在 hyper-v 客戶機和 hyper-v 主機上的使用。
首先,Bitlocker 可以在 hyper-v 來賓中使用嗎,我發現 50% 的文章說不支持,其他人說支持?
我還應該在 hyper-v 主機級別使用它嗎?這對我來說有點模糊。如果我在啟動卷上啟用,那麼是的,如果沒有啟動密碼(一個選項),主機就無法啟動,但這不會加密共享儲存上的數據,我假設我無法加密 iSCSI 卷,因為它們在我們的 hyper-v 集群中的多個節點之間共享。這使得它變得毫無意義,因為如果有人竊取了儲存設備,他們可以讀取數據。
可以在主機級別啟用 BitLocker。如果伺服器具有 TPM 晶片(過去五年中任何不錯的伺服器硬體都具有 TPM 晶片),主機無需干預即可啟動。Microsoft 在 Windows Server 2012 中添加了對 CSV 卷的 BitLocker 支持。
Microsoft 目前不支持來賓中的 BitLocker。這是可能的,但要在沒有乾預的情況下啟用自動啟動,需要將啟動密鑰(與恢復密鑰不同)儲存在本地分區上。在某些情況下,這也不像要求的那樣安全,因為如果主機受到威脅,則可能會啟動來賓並且加密密鑰會在記憶體中(或來自來賓的記憶體轉儲)受到攻擊。
值得一提的是,Hyper-V 2016 最終將提供虛擬 TPM 功能。
如何在 Windows Server 2012 中配置 BitLocker 加密群集磁碟
http://blogs.msdn.com/b/clustering/archive/2012/07/20/10332169.aspx