我需要在我们的环境中实现静态数据加密。基本上,我们有一个Hyper-V运行 Windows Server 2012 的名为 FILER01 的虚拟服务器与我们的 DELL MD3200i 上的 LUN 有直接的 iSCSI 连接存储局域网。此虚拟服务器仅配置为文件服务器,它向文档存储库提供共享文件夹,该存储库仅由两个服务帐户访问(一个用于我们的文档管理应用程序,用于通过其 Web 界面访问和显示文件,类似于 SharePoint,另一个用于备份服务帐户,用于备份文件)。此虚拟服务器在运行 Server 2012 的 DELL R820 服务器上运行,并在 BIOS 中内置了 TPM 模块,但我不认为 TPM 功能可以“传递”到虚拟服务器。
尽管我们的服务器位于坚固安全的数据中心,但为了满足HIPAA 指南(我觉得这些都过时了),我们需要确保存储在 SAN 上的数据在静止时是加密的。我做了大量的研究,但似乎找不到保护数据的最佳选择。我研究过 EFS,但它最初是为 Windows 2000 开发的,所以我不知道这是否意味着它很强大或过时了。我研究过 BitLocker,它最初是为“丢失笔记本电脑”的情况开发的,仅用于保护操作系统驱动器。直到 Server 2012,BitLocker 才能够支持 iSCSI数据(非操作系统)驱动器,但我不知道它是否足够成熟,可以在这种类型的企业环境中使用。我也知道还有其他产品(例如 TrueCrypt)可以进行加密,但我们需要知道,无论我们选择什么,都会产生最少的处理开销,并且对我们的应用程序是透明的(最好不会对我们的应用程序访问存储库的方式进行任何更改)。
我希望得到任何在 Hyper-V 环境中实施过 SAN 上数据文件静态加密的人的反馈。任何意见都非常感谢!
仅供参考,尽管 MD3200i 支持自加密磁盘,但我们没有,而且更换它们的成本过高(目前)。
答案1
EFS 已经存在很长时间了,这是事实。但它仍然像以往一样重要,并且满足 HIPAA 静态数据加密指南。
另外,您没有提到 SQL,但是对于偶然发现这个问题的其他人来说,也请查看 TDE(透明数据加密),以审计员满意的方式加密 SQL Server 数据。