问题: 我有一台虚拟机,想用它来存储极其敏感的数据。
我想要的是: 完整的虚拟机加密,以及加密虚拟机上的特定文件夹,以便只有特定机器上具有特定证书或可以访问加密密钥时才能打开该文件夹。
问题:是否可以加密整个虚拟机,然后加密该虚拟机内的文件夹,以便仅在满足某些条件时才允许访问?如果有人掌握了 VHDX 文件,将其安装并启动,这会阻止他们访问该文件夹吗?
(虚拟机是 Server2012 R2,位于未加密且运行服务器 2012(非 R2)的虚拟主机上,但极其使用极其严格的 ipsec 规则)
答案1
我曾经遇到过类似的情况,并且总是用这种方法成功解决问题:
- 我的主机操作系统是 Windows 7 64 位
- 大多数情况下,我使用的客户操作系统是 Ubuntu,但这应该适用于任何其他客户操作系统,包括 Server 2012 R2。确保您使用的虚拟化软件适合您的客户操作系统。
- 就我而言,虚拟化是通过 VirtualBox 完成的。同样,只要您留意 VM 文件的位置,它应该可以与其他虚拟化软件配合使用。
首先,我设置用于存储虚拟机的加密容器:
- 我创建了一个新的 TrueCrypt 容器,其大小固定,足够容纳已安装的客户操作系统和您需要处理的敏感数据。
- 不要创建“动态”容器,因为它们不太安全,性能也较差。(来源:http://www.truecrypt.org/docs/creating-new-volume)
- 如果虚拟机性能是个问题,您可能需要选择一种加密/解密速度更快的加密算法。如果您担心加密卷受到严重攻击并且性能不是问题,请确保选择三种算法的组合。
- 小心选择强密码、密钥文件以及安全容器所需的任何东西。
- 创建容器后将其挂载,您将立即需要它进行下一步。
其次,我设置了虚拟机本身:
- 在设置虚拟机时,请务必确保新的虚拟机配置和硬盘驱动器映像直接写入 TrueCrypt 容器。如果您先将虚拟机配置和映像写入(未加密的)硬盘驱动器,则即使将文件移动到 TrueCrypt 容器后,您仍有可能在磁盘上留下安装痕迹。
- 在选择此 VM 的快照文件夹以及与您即将创建的 VM 相关的所有其他文件或目录时也要同样小心。
- 关闭虚拟化软件。卸载 TrueCrypt 容器。重新启动虚拟化软件,并检查它如何响应您刚刚创建的突然“丢失”或“不可用”的 VM。
安装客户操作系统时的注意事项:
- 由于虚拟机位于加密容器内,因此您可以简单地应用任何基于客户操作系统的安全性和加密作为第二道防线。
- 这包括在虚拟机内设置加密容器,或在 Ubuntu 或 Windows EFS 上使用加密主目录。
希望这可以帮助。
答案2
WM 以文件形式存在于您的磁盘上,您可以像加密其他文件一样简单地对其进行加密。要加密文件夹,您可以尝试 truecrypt 或 encfs。