我有一个新的医疗保健IT客户的要求。 它们是文件服务器,是2012 R2 Hyper-V戴尔PE上运行的虚拟2012 R2。 带有2012 R2 Hyper-V服务器的Dell PE具有两个分区。 第一个分区用于2012 R2操作系统,第二个分区是Windows 2012 R2托pipe虚拟机的位置。 在虚拟机所在的第二个分区上启用Bitlocker是个好主意吗? 优缺点都有什么? 还有其他解决scheme吗?
6月中旬之前需要encryption数据。 谢谢。
是的,您应该使用Hyper-V父分区的Bitlocker来encryption存储虚拟机文件/虚拟硬盘的驱动器。
来自TechNet :
您应该在存储VM文件的所有卷上使用BitLocker驱动器encryption。
这篇文章有点旧了,但是还是相关的。 自写作之后,Bitlocker和Hyper-V都各有所长。
Bitlocker在静止时encryption数据。 一旦操作系统启动,驱动器就会“解锁”,并且在运行时仍然容易受到威胁。 但是,当服务器断电时,数据将被locking。
在Bitlocker变得真正有效之前,您需要一个TPM芯片。 它可以在技术上与USB棒一起使用,但是这具有严重的缺点…您确实需要在服务器主板上安装TPM。
如果您有新的硬件并且可以升级到Server 2016,则可以使用屏蔽虚拟机,这也取决于现代TPM硬件,并且可以encryption虚拟机,以便即使从主机操作系统也可以屏蔽虚拟机。