Actualmente estoy experimentando con la ejecución de algunas máquinas virtuales, y me gustaría consolidar las imágenes de disco de la máquina virtual en un NAS. Para ser claros, eso significa que habría un solo NAS en la red, así como varios servidores que ejecutan máquinas virtuales. Cada máquina virtual se ejecutaría desde una imagen de disco que vive en el NAS.
Al evaluar las opciones de implementación, me he encontrado con un escenario intrigante por su simplicidad: alojar los discos VM en un recurso compartido NFS y ejecutar máquinas virtuales que tienen sus discos completamente encriptados. Específicamente, Ubuntu Server 18.04LTS, usando el FDE incorporado.
Mi comprensión (limitada) de este escenario es que los datos en la imagen de disco de la VM están cifrados en el recurso compartido NFS. Cuando se ejecuta la máquina virtual, los datos del disco se envían cifrados a través de la red, donde se descifran en el lado del servidor. Todas las escrituras de disco se cifran en el lado del servidor antes de volver a enviarse a la imagen de disco en el recurso compartido NFS.
Entonces: en principio (si tengo razón), los datos del disco (con la excepción del kernel y los datos de inicio, supongo) solo se envían cifrados a través de la red. Tengo preguntas:
- ¿Este arreglo realmente resulta en tráfico de disco cifrado a través de la red?
- ¿Qué beneficios (si los hay) de seguridad de red ofrece este acuerdo?
- ¿Hay algún error que yo (y otros que lean esta pregunta) debamos conocer?
Finalmente, una nota: los lectores astutos notarán que NFSv4 tiene la opción krb5p, que permite la autenticación y el cifrado a través de Kerberos. Si bien esta es una opción robusta, la infraestructura requerida es sustancial, por eso he elegido no ir por ese camino.