Dichiarazione di non responsabilità: mi rendo conto che ho postato questa domanda su ServerFault, ma non ho ricevuto alcuna risposta lì. Spero che questo forum potrebbe essere un posto più appropriato per postare questo per una risposta. Se non sono corretto, fatemelo sapere e cancellerò questo post.
Abbiamo la necessità di applicare la crittografia a riposo su un LUN iSCSI accessibile da una macchina virtuale Hyper-V.
Abbiamo implementato una soluzione funzionante utilizzando BitLocker, utilizzando Windows Server 2012 su un server virtuale Hyper-V con accesso iSCSI a un LUN sulla nostra SAN. Siamo stati in grado di farlo con successo utilizzando la funzione di "archiviazione delle chiavi del disco floppy" come definito in QUESTO POST . Tuttavia, questo metodo mi sembra "hokey".
Nella mia continua ricerca, ho scoperto che il team IT di Amazon Corporate ha pubblicato un WHITEPAPER che ha delineato esattamente ciò che stavo cercando in una soluzione più elegante, senza il "floppy disk hack". Nella pagina 7 di questo white paper, dichiarano di aver implementato Gestione chiavi di crittografia DPAPI di Windows per gestire in modo sicuro le loro chiavi BitLocker. Questo è esattamente quello che sto cercando di fare, ma hanno dichiarato che dovevano scrivere uno script per farlo, ma non forniscono lo script o anche alcun suggerimento su come crearne uno.
Qualcuno ha dettagli su come creare uno script "insieme a un servizio e un file keystore protetto dalla chiave DPAPI dell'account macchina del server" (come dichiarano nel white paper) a gestire e auto-sbloccare i volumi di BitLocker? Qualsiasi consiglio è apprezzato.