Tengo una pregunta sobre cómo configurar correctamente el cifrado completo del disco en un servidor que ejecuta máquinas virtuales.
Mi configuración es Windows 2012 con 2 máquinas virtuales (Hyper-V).
Estaba estudiando el uso de Becrypt para el cifrado completo del disco.
¿Sería suficiente ejecutar el cifrado completo del disco solo en un host?
¿O debería ejecutarlo en el host y en cada máquina virtual?
Bitlocker con la integración de Active Directory es probablemente lo mejor para Windows Server 2012. Su problema principal con FDE en los servidores es el requisito para las contraseñas de tiempo de arranque con cosas como Becrypt, TrueCrypt, PGP. Las contraseñas de tiempo de inicio generan trabajo adicional para sus operaciones de red.
Por lo general, no es necesario cifrar dentro de la VM. ¿Contra qué estás defendiendo? El cifrado de disco completo suele ser una defensa contra los discos o el robo físico de todo el dispositivo. En un escenario típico, un servidor host de máquina virtual y las máquinas virtuales se encenderán y los discos se descifrarán 24/7, dentro de un entorno físicamente seguro, como un centro de datos. Pero incluso si su servidor físico es vulnerable al robo, los datos de la máquina virtual se cifrarán cada vez que se cifre el servidor físico.
La única ocasión en que puedo ver dónde sería útil el FDE en la VM es para proteger una copia de seguridad de la VM, siempre que la VM se haya cerrado correctamente antes de la copia de seguridad. Pero sería mejor cifrar toda la copia de seguridad.
Por supuesto, si se encuentra en un entorno regulatorio en el que se requiere FDE por razones legales, entonces solo tiene que seguir adelante. Yo usaría Bitlocker.
Lea otras preguntas en las etiquetas encryption virtualization windows