ゲストの暗号化VM ESXI 6.5 with Bitlocker
こんにちは、一部の古いR710でESXIをいじくり回している開発者です。私たちの開発環境では問題ありません。 R710にはTPMがあります。 VMをBitlockerで暗号化しようとしましたが、TPMを認識できませんでした。ESPIがそれを認識できないと想定しています。おそらくVeracryptを考えていました。主な要件は次のとおりです。
- 暗号化されたWindowsマシン(ただし、Linuxを使用することもできます)。
- 私の主な関心事は、ディスクがおそらく偶然に廃棄された場合、ディスクに何も置かれないようにすることです。
- 起動時にパスワードを入力することは、開発環境であるため、私たちにとって問題ではありません。
だから私の質問は:
- ESXIがTPMを認識できないと想定するのは正しいですか。
- VeracryptはVMで実行可能ですか?-仮想環境で使用するのは初めてなので、長期的には潜在的な問題がわからないので、今夜テストで試してみますVM。
- これはESXI v6.5なので、暗号化のサポートがいくつかありますが、現在無料バージョンを使用しており、チュートリアルはかなり複雑に見え、より専門的な環境を対象としています。
代替案は大歓迎です。乾杯、クリス。
6.5を使用している場合は、ネイティブのvSphere VM暗号化を使用しないのはなぜですか?
https://blogs.vmware.com/vsphere/2016/10/whats-new-in-vsphere-6-5-security.html
仮想マシンの暗号化は、何年もの間続いているものです。ただし、気づかなかった場合は、すべてのソリューションが運用に悪影響を与えるため、「離陸」していません。 vSphere 6.5では、その問題に正面から取り組んでいます。
暗号化は、仮想マシンの「直下」のハイパーバイザーで行われます。 I/OがVMの仮想ディスクコントローラーから出力されると、カーネルストレージレイヤーに送信される前に、カーネル内のモジュールによって即座に暗号化されます。両方VMホームファイル(VMX、スナップショットなど)とVMDKファイルは暗号化されます。
VeraCryptに行った主なオプションのうち
- USBスティックにキーを保管しておくことは、物理的なものであれ、仮想的なものであれ、アイデアの暗号化を損なうように見えます。 USBスティックが盗まれた場合などはどうなりますか?.
- ESXIのネイティブ暗号化には、キーを保持するためのサーバーが必要です-この投稿を参照してください https://www.youtube.com/watch?v=5-1ejlPGEc
- Veracryptはシンプルで、起動時に誰かがパスワードを入力する必要があります。ローカル開発をサポートするためにUATサーバーなどをホストしているシナリオでは、これは許容できる妥協案でした。私たちの場合、無人再起動は問題になりませんでした。