Hyper-V 環境中 iSCSI SAN 上的靜態加密
我需要在我們的環境中實現數據的靜態加密。基本上,我們有一個名為 FILER01 的Hyper-V虛擬伺服器,它執行 Windows Server 2012,它與我們的 DELL MD3200i iSCSI SAN上的 LUN 有直接 iSCSI 連接. 此虛擬伺服器僅配置為充當文件伺服器,它向文件儲存庫提供共享文件夾,該儲存庫只能由兩個服務帳戶訪問(一個用於我們的文件管理應用程序通過其 Web 界面訪問和顯示文件,類似到 SharePoint,另一個用於備份文件的備份服務帳戶)。該虛擬伺服器在執行 Server 2012 的 DELL R820 伺服器上執行,並且在 BIOS 中內置了 TPM 模組,但我不相信 TPM 功能可以“傳遞”到虛擬伺服器。
即使我們的伺服器位於加固且安全的數據中心,為了滿足HIPAA 準則(我覺得這些準則已經過時),我們仍需要確保儲存在 SAN 上的數據在靜態時被加密。我進行了大量研究,但似乎找不到保護數據的最佳選擇。我看過 EFS,但它最初是為 Windows 2000 開發的,所以我不知道這是否使它變得健壯或過時。我看過 BitLocker,它最初是為“失去的筆記型電腦”場景開發的,僅用於保護作業系統驅動器。直到 Server 2012,BitLocker 才能夠在數據(非作業系統)驅動器上支持 iSCSI,但不知道在這種企業環境中使用是否足夠成熟。我也知道還有其他產品(例如 TrueCrypt)可以進行加密,但我們需要知道,無論我們選擇什麼都會導致最少的處理成本並對我們的應用程序透明(最好不對應用程序進行任何更改)我們的應用程序訪問儲存庫的方式)。
我想從任何在 Hyper-V 環境中對 SAN 上的數據文件進行靜態加密的人那裡得到一些回饋。非常感謝任何輸入!
僅供參考,即使 MD3200i 支持自加密磁碟,我們也沒有它們,而且更換它們的成本很高(此時)。
EFS 已經存在很長時間了,這是真的。但它仍然與以往一樣重要,並且滿足 HIPAA 對靜態數據加密的準則。
此外,您沒有提到 SQL,但對於偶然發現這個問題的任何其他人,還請查看 TDE(透明數據加密),以使審計員滿意的方式加密 SQL Server 數據。