jostrn 13 Geschrieben 24. November 2011 Melden Teilen Geschrieben 24. November 2011 Guten Abend, ich bekomme bald einen Win2k8Srv R2 mit einer Oracle-DB unterstellt, der allerdings auswärtig untergebracht ist und dessen physikalische Sicherheit sich meiner Kontrolle entzieht. Aus Performance-Erwägungen hatte ich Festplatten mit Hardware-Verschlüsselung vorgeschlagen, das ist aber vom Tisch und ich muss per Software verschlüsseln. Die Oracle-Instanz wird in einem HyperV-Child laufen das in einer VHD-Datei liegt. Die Daten in der Oracle-DB will ich derart schützen, dass der Zugriff auch dann ausgeschlossen ist, wenn man physischen Zugang zu dem Speicher hat. Hierfür soll möglichst wenig Rechenleistung draufgehen. Mir kommen folgende Optionen in den Sinn: 1. Verschlüsselung nur der Oracle-DB Datenbankdateien mit EFS in dem HyperV Child und Berechtigen des Oracle-Dienstkontos. 2. Verschlüsselung des kompletten HyperV Childs mit Bitlocker. 3. Verschlüsselung der VHD-Datei mit EFS. 4. Verschlüsselung des HyperV Hosts oder zumindest des Volumens mit den VHD-Dateien durch Bitlocker. Wie würdet ihr Vorgehen? Option 1 würde den wenigsten Leistungsverlust mit sich bringen? Vielen Dank für Euren Rat und eure Erfahrung Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 24. November 2011 Melden Teilen Geschrieben 24. November 2011 Kann man die Daten in der Oracle DB verschlüsseln mit Oracle Mitteln? Das sind ja die wichtigen Daten. Zitieren Link zu diesem Kommentar
NilsK 2.790 Geschrieben 24. November 2011 Melden Teilen Geschrieben 24. November 2011 Moin, BitLocker und Hyper-V geht mit 2008 R2 noch nicht. EFS ist dafür nicht geeignet. Ob eine Verschlüsselung innerhalb der Datenbank möglich oder sinnvoll ist, kann ich nicht beurteilen (wahrscheinlich aber nicht). Wenn es wirklich sensible Daten sind und ihr dem Hoster nicht trauen könnt, dann gehören die Daten dort nicht hin. Gruß, Nils Zitieren Link zu diesem Kommentar
jostrn 13 Geschrieben 24. November 2011 Autor Melden Teilen Geschrieben 24. November 2011 Kann man die Daten in der Oracle DB verschlüsseln mit Oracle Mitteln? Ich hoffe es, Oracles Transparent Data Encryption wäre das Mittel der Wahl aber falls nicht muss ich auf tieferen Ebenen ansetzen. BitLocker und Hyper-V geht mit 2008 R2 noch nicht. Wieder was gelernt, vielen Dank. EFS ist dafür nicht geeignet. Weil es die Zugriffe des DBMS zu sehr ausbremst oder weswegen? Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 24. November 2011 Melden Teilen Geschrieben 24. November 2011 Hallo, ich würde mindestens die Partition, auf der die VHDs liegen, mit Bitlocker verschlüsseln. Ich bin zwar kein Datenbankspezi, aber ich könnte mir durchaus vorstellen, dass auf Datenbankebene ebenfalls die Möglichkeit der Verschlüsselung besteht. Die Verschlüsselung weiterer Hostfestplatten muss dann separat betrachtet werden. Wenn der Host z.B. an einem "unsicheren" Ort steht, dann macht eine Verschlüsselung aller Festplatten durchaus Sinn (Beachte aber, dass beim Reboot der Key eingegeben werden muss, also iLO, DRAC, etc. sollte konfiguriert sein). Wenn der Host in einem Rechenzentrum im abgeschlossenen Rack steht, ist die Verschlüsselung normalerweise nicht notwendig. Grüße, Robert Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 25. November 2011 Melden Teilen Geschrieben 25. November 2011 Moin, BitLocker und Hyper-V geht mit 2008 R2 noch nicht. BitLocker auf der Parent Partition oder in welcher Kombination Nils? Zitieren Link zu diesem Kommentar
NilsK 2.790 Geschrieben 25. November 2011 Melden Teilen Geschrieben 25. November 2011 Moin, meines Wissens geht BitLocker mit Hyper-V weder in der Parent Partition noch in den VMs. EDIT: Wie ich gerade sehe, war ich da auf dem Holzweg. Dann hatte ich wohl einen Hinweis aus den Windows-Server-8-Artikeln missverstanden. Dort wird die Bitlocker-Integration voraussichtlich deutlich verbessert. Möglich ist es aber anscheinend doch: http://blogs.technet.com/b/germanvirtualizationblog/archive/2008/12/01/windows-server-2008-hyper-v-und-bitlocker-verschl-sselung.aspx Ob es im konkreten Szenario Sinn ergibt, muss man natürlich prüfen: Ich weiß z.B. nicht, ob es überhaupt Server mit TPM gibt. Ohne wäre man dann zwingend bei einem Key auf USB-Stick, und das ist in einem RZ wohl kaum sinnvoll umsetzbar. Ließe man den Stick dort stecken, dann könnte man die Verschlüsselung auch gleich unterlassen. Auch die Pre-Boot-Authentisierung per PIN ist auf einem RZ-Server eher weniger sinnvoll ... Gruß, Nils Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 25. November 2011 Melden Teilen Geschrieben 25. November 2011 Hi Nils, BitLocker und Hyper-V in der Parent Partition funktionieren. Das wäre jetzt meine Antwort gewesen, da ich es selber auf einer meiner mobilen Testmaschinen (Notebook) nutze. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.