我有一个新的要求,即在 sql 数据库处于静止状态时对其进行加密。
到目前为止,我已经查看了 Bitlocker(见下文)和其他商业产品(我不会命名,因为我不是在寻找这个产品的最佳答案)。我还查看了 SQL 透明数据加密。
TDE 似乎是一个相当简单的选择,但考虑到使用 6 核时 sql 的定价非常高。我被要求寻找其他选择。
我的主要问题是关于 Bitlocker 及其在 hyper-v 客户机和 hyper-v 主机上的使用。
首先,Bitlocker 可以在 hyper-v 来宾中使用吗,我发现 50% 的帖子说不支持,其他人说支持?
我还应该在 hyper-v 主机级别使用它吗?这对我来说有点模糊。如果我在启动卷上启用,那么是的,如果没有启动密码(一个选项),主机就无法启动,但这不会加密共享存储上的数据,我假设我无法加密 iSCSI 卷,因为它们在我们的 hyper-v 集群中的多个节点之间共享。这使得它变得毫无意义,因为如果有人窃取了存储设备,他们可以读取数据。
可以在主机级别启用 BitLocker。如果服务器具有 TPM 芯片(过去五年中任何不错的服务器硬件都具有 TPM 芯片),主机无需干预即可启动。Microsoft 在 Windows Server 2012 中添加了对 CSV 卷的 BitLocker 支持。
Microsoft 当前不支持来宾中的 BitLocker。这是可能的,但要在没有干预的情况下启用自动启动,需要将启动密钥(与恢复密钥不同)存储在本地分区上。在某些情况下,这也不像要求的那样安全,因为如果主机受到威胁,则可能会启动来宾并且加密密钥会在内存中(或来自来宾的内存转储)受到攻击。
值得一提的是,Hyper-V 2016 最终将提供虚拟 TPM 功能。
如何在 Windows Server 2012 中配置 BitLocker 加密群集磁盘
http://blogs.msdn.com/b/clustering/archive/2012/07/20/10332169.aspx