我怀疑我有点偏离了网站使命,但似乎我比 stackoverflow 更适合这个问题
我正在准备创建一个包含敏感数据的虚拟机(个人使用,它将是一个网络+邮件+……各种设备),我想使用加密技术来保护数据;最终的选择必须是主机的跨平台
基本上,我必须在客户系统级加密(例如,dm-crypt 或类似加密)或带有 truecrypt 的主机级加密之间进行选择。
您是否认为“truecrypt-volume 包含虚拟化磁盘”方法会严重影响虚拟机的 i/o 性能(因此将 dm-crypt 等方法引入虚拟机会更好),或者它是否可行?
我想保护所有客户数据,而不仅仅是我的个人数据,以便能够自由暂停虚拟机而不必担心交换分区等
答案1
我必须尊重地不同意 Tim 的观点,并建议使用 Truecrypt。加密主机操作系统,不加密虚拟机。Truecrypt 是多平台的,在最糟糕的情况下(例如操作系统故障),您可以挂载 Truecrypt 卷从任何受支持的操作系统。
这有几个优点:
- 您的虚拟机不会浪费宝贵的 CPU/内存资源来管理自己的加密
- 虚拟机将进行端到端加密(包括交换文件),但对客户操作系统来说是不可见的
- 您可以充分利用全系统加密
根据我的经验,Truecrypt 对性能的影响可以忽略不计(约 5-10%),而 VMware 不会受到惩罚在 VMDK 中处理磁盘 I/O 时。
答案2
您应该考虑在客户操作系统中使用某种类型的全盘加密。这将在虚拟机处于静止状态时保护虚拟机,但在虚拟机挂起或运行时则不保护。
主机级别更好,因为它将解决您的挂起状态问题,但您将失去跨操作系统兼容性。它也很可能不受您的控制。
我建议研究一下 VMware ACE。那里有可用的本机加密方法。但是,通过这种方式进行重新分配可能会出现问题。