我有一个新的要求,即在 SQL 数据库处于静止状态时对其进行加密。
到目前为止,我已经研究过 Bitlocker(见下文)和其他商业产品(我不会说出名字,因为我并不认为该产品是最好的答案)。我还研究过 SQL 透明数据加密。
TDE 似乎是相当简单的选择,但考虑到使用 6 核时 SQL 的价格非常高。我被要求寻找其他选择。
我的主要问题是关于 Bitlocker 及其在 Hyper-V 客户机和 Hyper-V 主机中的使用。
首先,Bitlocker 可以在 Hyper-V 客户机中使用吗?我发现 50% 的帖子说它不受支持,而其他的帖子则说它受支持?
我还应该在 hyper-v 主机级别使用它吗?这里对我来说有点模糊。如果我在启动卷上启用,那么是的,没有启动密码(一个选项)就无法启动主机,但这不会加密共享存储上的数据,我认为我无法加密 iSCSI 卷,因为它们在我们的 hyper-v 群集中的多个节点之间共享。这使得它变得毫无意义,因为如果有人窃取存储设备,他们就可以读取数据。
答案1
BitLocker 可以在主机级别启用。只要服务器有 TPM 芯片(过去五年内任何像样的服务器硬件都有 TPM 芯片),主机就可以无需干预启动。微软在 Windows Server 2012 中为 CSV 卷添加了 BitLocker 支持。
目前,Microsoft 不支持客户机中的 BitLocker。这是可能的,但要启用无需干预的自动启动,需要将启动密钥(与恢复密钥不同)存储在本地分区上。在某些情况下,这也不像要求的那样安全,因为如果主机受到威胁,客户机可能会启动,并且内存中的加密密钥(或从客户机的内存转储中)可能会受到攻击。
值得一提的是,Hyper-V 2016 最终将提供虚拟 TPM 功能。
如何在 Windows Server 2012 中配置 BitLocker 加密群集磁盘
http://blogs.msdn.com/b/clustering/archive/2012/07/20/10332169.aspx