嗨,我们是开发人员,正在一些旧的 R710 上使用 ESXI。对于我们的开发环境来说,这没问题。R710 有一个 TPM。我尝试使用 Bitlocker 加密 VM,但它看不到 TPM。我猜 ESXI 看不到它。我可能在考虑 Veracrypt。我们的主要要求是:
- 加密的 Windows 机器(尽管我们也可以使用 Linux)。
- 我主要关心的是确保如果磁盘被意外丢弃,上面不会有任何内容。
- 由于这是一个开发环境,因此在启动时输入密码对我们来说不是问题。
我的问题是:
- 我是否可以正确地假设 ESXI 看不到 TPM?
- Veracrypt 在虚拟机中是否可行 - 我是第一次在虚拟环境中使用它,因此我不确定长期来看是否存在潜在问题。我今晚将在测试虚拟机上尝试一下。
- 它是 ESXI v6.5,因此有一些加密支持,但我们目前正在使用免费版本,并且教程看起来相当复杂,并且针对更专业的环境。
欢迎提出任何其他建议。干杯,克里斯。
答案1
如果您使用的是 6.5,为什么不直接使用本机 vSphere VM 加密?
https://blogs.vmware.com/vsphere/2016/10/whats-new-in-vsphere-6-5-security.html
虚拟机加密已经存在多年。但是,如果您没有注意到,它只是没有“流行起来”,因为每个解决方案都会对运营产生负面影响。借助 vSphere 6.5,我们将正面解决这个问题。
加密将在虚拟机管理程序中完成,位于虚拟机“下方”。当 I/O 从虚拟机中的虚拟磁盘控制器发出时,它会立即被内核中的模块加密,然后发送到内核存储层。VM Home 文件(VMX、快照等)和 VMDK 文件都已加密。
答案2
在主要选项中,我们选择了 VeraCrypt
- 依靠将密钥保存在 USB 记忆棒(无论是物理的还是某种虚拟的东西)似乎违背了加密的理念。如果 USB 记忆棒被盗怎么办?
- ESXI 本机加密需要服务器来保存密钥 - 请参阅此文章https://www.youtube.com/watch?v=5-1ejlPGEcU,这似乎有点超出我们开发人员的理解范围!
- Veracrypt 很简单,只需要有人在启动时输入密码。对于我们托管 UAT 服务器等以支持本地开发的情况,这是一个可以接受的折衷方案。在我们的案例中,无人值守重启不是问题。