BitLocker可用作加密模块来满足FIPS 140-2安全级别 1 合规性。
如果加密驱动器位于虚拟机上,它是否仍符合 FIPS 140-2标准?
在一个 BitLocker 虚拟机设置中,虚拟机主机上的驱动器或卷之一可以充当加密密钥提供程序来保存加密密钥。
唯一的问题是,这种 BitLocker 实现似乎主要颠覆了 BitLocker 首先提供的保护。
在题为“ Windows 7 中的 BitLocker 驱动器加密:常见问题”的文章中,微软声明他们不支持在虚拟机上使用 BitLocker。
我可以在虚拟机操作环境中使用 BitLocker 吗?
不支持在虚拟机中使用 BitLocker。不要在虚拟机中运行 BitLocker 驱动器加密。您可以在虚拟机管理操作系统中使用 BitLocker 来保护包含配置文件、虚拟硬盘和快照的卷。
但这对 FIPS 140-2 合规性和虚拟机意味着什么?
如果 Microsoft 不支持它,BitLocker 在虚拟机中是否仍符合 FIPS 140-2?
关于这个话题有一个有趣的讨论。我同意这个评估,即持有加密密钥的虚拟驱动器不符合 FIPS 140-2 的要求。
在安全策略中,§2.3 描述了认证适用的平台:它列出了多个版本的 Windows,没有提及任何特定的硬件。然后 §6 描述了应用证书必须满足的使用要求。必须使用第 5.2 节中列出的符合 FIPS 的启动机制之一,因此机器必须具有 PIN 键盘、USB 连接或 TPM。该策略没有明确描述运行 Windows 的机器与这些外围设备之间的连接,因此可以接受虚拟机。
虚拟拇指驱动器将是另一回事。由于没有涉及实际的 USB,我认为该语言不能解释为涵盖这种情况。
也就是说,CREDANT Manager for BitLocker使虚拟机上的 BitLocker 加密驱动器符合 FIPS 140-2。
BitLocker 的 CREDANT 管理器是单个中央管理解决方案的一部分,它有助于... 提供一种集成方法来管理跨其他非 BitLocker 平台的加密;物理、虚拟和基于云的。
...加密管理解决方案提供简单、集中管理的密钥恢复,并通过 FIPS 140-2 验证。
我怀疑还有其他中央密钥管理解决方案。CREDANT 只是我发现的第一个。