machines virtuelles et cryptography

Je soupçonne que je suis un peu offtopique avec la mission du site, mais il me semble plus approprié pour la question que stackoverflow

Je me prépare à créer un vm avec des données sensibles (utilisation personnelle, ce sera un web + mail + … appareil de sorte), je voudrais protéger datatables même avec la cryptography; le choix final doit être multiplateforme pour l'hôte

fondamentalement, je dois choisir entre la cryptography système système (par exemple, dm-crypt ou similaire) ou la cryptography niveau hôte avec truecrypt.

pensez-vous que l'approche "truecrypt-volume contenait des disques virtualisés" atteindrait la performance i / o du vm mal (et donc les approches dm-crypt like dans le vm serait mieux) ou est-il faisable?

Je voudrais protéger toutes datatables des invités, non seulement mes données personnelles, pour pouvoir suspendre le vm gratuitement sans se soucier de la partition de swap, etc.

Je devrais respecter respectueusement Tim et reorder l'utilisation de Truecrypt. Chiffrer le operating system hôte et laisser les machines virtuelles non chiffrées. Truecrypt est multiplateforme et, dans le pire des cas (comme l'échec du operating system), vous pouvez monter votre volume Truecrypt à partir de tout operating system pris en charge .

Cela présente quelques avantages:

  • Vos machines virtuelles ne perdront pas de précieuses ressources CPU / memory qui gèrent leur propre encryption
  • Les machines virtuelles seront cryptées de bout en bout (y compris les files échangés) de manière invisible vers le operating system invité
  • Vous bénéficiez pleinement du encryption complet du système

De mon expérience, la performance de Truecrypt est négligeable (environ 5 à 10%) et VMware ne subit pas de pénalité lors de la gestion des E / S de disque dans un VMDK.

Vous devriez examiner le chiffrement complet du disque de quelque sorte dans votre operating system invité. Cela protégera votre machine virtuelle en repos mais pas lors de la suspension ou de l'exécution.

Le niveau d'hôte est meilleur puisqu'il traitera votre problème d'état suspendu mais vous renoncez à votre compatibilité OS transversale. Il sera très probablement hors de votre contrôle.

Je suggère d'examiner VMware ACE. Il existe une méthode de encryption native disponible là-bas. Il existe des problèmes potentiels avec la redissortingbution de cette route.