我有一个新的医疗 IT 客户需求。他们的文件服务器是虚拟 2012 R2,运行在带有 2012 R2 Hyper-V 的 Dell PE 上。带有 2012 R2 Hyper-V 的 Dell PE 服务器有两个分区。第一个分区用于 2012 R2 操作系统,第二个分区是 Windows 2012 R2 托管虚拟机的位置。在虚拟机所在的第二个分区上启用 Bitlocker 是个好主意吗?有什么优缺点?还有其他解决方案吗?
需要在 6 月中旬之前加密他们的数据。谢谢。
答案1
是的,您应该使用 Hyper-V 父分区中的 Bitlocker 来加密存储 VM 文件/虚拟硬盘的驱动器。
从科技网:
您应该在存储 VM 文件的所有卷上使用 BitLocker 驱动器加密。
这篇文章有点旧了,但仍然具有现实意义。自撰写本文以来,Bitlocker 和 Hyper-V 都得到了改进。
Bitlocker 加密静态数据。一旦操作系统启动,驱动器就会“解锁”,并且在运行时仍然容易受到攻击。但是当服务器断电时,数据将被严密锁定。
在 Bitlocker 成为主流之前,你需要一个 TPM 芯片真的有效。从技术上讲,它可以与 USB 记忆棒一起使用,但这有严重的缺点……您确实需要在服务器主板上安装 TPM。
如果您拥有真正新的硬件并可以升级到 Server 2016,那么您就可以拥有 Shielded VM,它也依赖于现代 TPM 硬件并可以加密 VM,以便它们甚至可以与主机操作系统隔离。