[ESXi] VMDK/VMFS Security

Ik heb thuis een een Vsphere 4.1 server(tje) draaien met 2 sata disks.

Momenteel maak ik gebruik van een externe WD disk voor back-ups via mijn vaste pc.
Een aantal (persoonlijke) mappen zijn tevens voorzien van encryptie via EFS.

Voor een back-up thuis is dit prima mits je de EFS key maar niet kwijt raakt of op dezelfde schijf zet (dan kan een inbreker de schijf meenemen, key importeren en klaar toch?). Omdat ik een inbreker minder snel mijn server zie jatten en een externe schijf nog steeds onhandig/langzaam is overweeg ik het volgende:

In mijn vmware bak een derde sata schijf te hangen en hier een dedicated back-up vm aan koppelen met een OS als win7 of win2k3.
Vervolgens zorg ik er voor dat deze machine geen internet toegang heeft om te voorkomen dat er spyware etc binnenkomt en dat er alleen vanaf mijn werkstation mee verbonden kan worden. (machine in een aparte vlan gooien oid).
Vervolgens af en toe deze share mounten en back-up script laten draaien zonder EFS encryptie. Wat mijn vraag aan jullie nou is... hoe veilig is zo'n vmdk of vmfs file? (welke van de twee het is weet ik even niet met vsphere 4.1).

Stel men jat deze server, zet deze sata disk in een pc en doet een copy/paste van de vmfs file (of is het nou vmdk?). Kan men dit openen als container en de data mounten of eruit halen?

LuckY schreef op zaterdag 26 februari 2011 @ 16:32:
Full Disk encryption(desnoods op de vm)

Dit zou een optie kunnen zijn inderdaad, partitie aanmaken op die vm en bijvoorbeeld met TrueCrypt beveiligen? Nadeel is weer dat ik ergens een key moet bewaren (of kan dit met een standaard wachtwoord?)

En VMware workstation heeft de mogelijkheid voor encrypted "virtuele disk", weet echter niet of ESXi dat ook hebt

tevens, wat is het nu van een backup als de dief waarschijnlijk ook de backup meeneemt?
Kan je niet ergens een nasje zetten, of iets als Rsync/DFS naar een datacentrum of naar een klein bakje met schijven in de schuur of meterkast die dieven minder snel vinden?

Tevens moet je ook kijken wat de dieven er mee gaan doen, worden waarschijnlijk verkocht op marktplaats en 9/10 mensen format het en reinstalled
Dan zou ik gewoon liever die VM beveiligen met truecrypt of bitlocker

Dat laatste heb je gelijk in, maar ik ga liever geen risico's nemen .
Ik denk dat ik truecrypt maar is ga proberen! Thanks!

EdwinW schreef op zaterdag 26 februari 2011 @ 21:56:
[...]


Het is geen enkel probleem om de data in dat VMDK bestand te lezen. De tools zijn zelfs gratis beschikbaar bij VMware: http://communities.vmware...ity/developer/forums/vddk

Jammer.. maar ik zat inderdaad ook al te denken dat men natuurlijk die files gewoon weer in een andere esxi host kunnen plaatsen en opstarten (al denk ik niet dat dieven dit zo snel begrijpen ). De kans is dus al groter dat men een disk format als ze deze jatten en alleen deze vmdk files zien..

[ Voor 20% gewijzigd door Workaholic op 27-02-2011 10:30 ]