Как отключить файлы подкачки в ESXi?

18

Мы используем несколько виртуальных машин Solaris / Linux на ESXi, которые содержат очень конфиденциальные зашифрованные данные, которые в конечном итоге расшифровываются по мере необходимости в памяти.

Все в порядке, за исключением файлов подкачки ESXi, которые потенциально могут хранить некоторые дешифрованные данные, но главное в том, что эти файлы не будут удалены в случае сбоя хоста.

Есть ли способ полностью отключить эти файлы?

Мы уже пытались зарезервировать всю выделенную оперативную память для виртуальных машин отдельно для каждой виртуальной машины, но файлы все равно создаются.

Что нужно сделать, чтобы обмен ESXi был полностью отключен для всего хоста или только для некоторых виртуальных машин?

security vmware-esxi encryption swap Мариус Бурз
источник
Вас беспокоит только состояние, при котором происходит сбой вашего хоста ESXi?
Ewwhite
1
Почему? У кого есть доступ к серверу?
Ewwhite
2
Я не хочу быть грубым, но лучше вернуть внимание к первоначальному вопросу.
Мариус Бурз
1
Но @ewwhite - один из наших ведущих экспертов по VMware. Он, конечно, спрашивает очень вескую причину. В конце концов, понимание всей вашей ситуации имеет решающее значение для того, чтобы дать вам хороший ответ .
Майкл Хэмптон
5
Это была проверка безопасности, которая вызвала всю ситуацию, нам было бы гораздо удобнее, если бы не было памяти, содержащей дешифрованные данные, выгруженные / сериализованные в ФС.
Marius Burz

Ответы:

13

Это интересный вопрос. Я никогда не думал о безопасности данных на уровне гипервизора ... обычно политики безопасности и ужесточение вращаются вокруг специфических для ОС задач (ограничение демонов, портов, отключение основных файлов, параметры монтирования файловой системы и т. Д.)

Но после некоторых быстрых исследований (и работы stringsс активными файлами VMWare .vswp) показано, что определенно возможно извлечь данные из файлов .vswp, находящихся в хранилище данных VMWare. Эта ссылка помогает объяснить жизненный цикл таких файлов.

В вашем случае, я думаю, ваш подход будет определяться политикой безопасности и требованиями. Исходя из моего опыта работы в сфере финансов и работы с аудитами, я считаю, что принятым подходом будет ограничение / защита доступа к хост-серверу. Напомним, что по умолчанию на хосте ESXi не включен SSH или консольный доступ. Включение этих функций приводит к возникновению события / предупреждения в vCenter, которое необходимо переопределить вручную , поэтому предполагается, что аудит доступа является лучшим способом управления доступом к этой информации.

Если есть опасения относительно того, кто может иметь доступ к серверу, возможно, не существует технического решения административной проблемы. Я проверю некоторые другие источники, чтобы увидеть, есть ли способ ограничить использование файлов .vswp.

--редактировать--

Вы можете зарезервировать всю гостевую оперативную память. Вы не указываете, какую версию VMWare вы используете, но в моей установке 5.1 есть возможность зарезервировать всю гостевую память . Включение этой опции создает файл .vswp нулевой длины , а не один, равный размеру ОЗУ, выделенному для виртуальной машины. Не обращайте внимания на файл vmx - *. Vswp. Это новое для ESXi 5.x , и оно не связано с нехваткой памяти гостевой операционной системы (это касается кучи процессов VMX, гостевых периферийных устройств и агентов управления). Кроме того, файлы vmx - *. Vswp можно отключить, установив sched.swap.vmxSwapEnabledв FALSE.

Я думаю, что это даст вам то, что вы просите.

введите описание изображения здесь

Нет резервирования памяти (по умолчанию):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

С резервированием памяти, заблокированным:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
ewwhite
источник
1
Теоретический сценарий может включать в себя строку событий (как всегда), скажем, сбой хоста, замену жестких дисков, эти жесткие диски могут содержать расшифрованные данные в таких файлах подкачки (неизвестно большинству), которые окажутся в чужих руках, потому что большинство считает, что данные на них это не так важно (конфиденциальные данные лежат на других жестких дисках в зашифрованном виде).
Мариус Бурз
@MariusBurz Смотрите изменения выше.
Ewwhite
Мы не могли избавиться от файлов vmx - *. Vswp, но теперь, когда вы говорите, что это не то, что мы думали, нам нужно по-другому взглянуть на все это. Я могу подтвердить, что на моей тестовой машине 5.1 @ home стандартный файл vswp создается с 0 КБ.
Мариус Бурз
1
@MariusBurz В VMX vswp файлы управляются sched.swap.vmxSwapEnabledпараметром. Они также могут быть отключены.
Ewwhite
Большое спасибо за помощь мне @ewwhite. Хотелось бы, чтобы я объяснил это лучше, когда дело дошло до того, какие файлы еще создавались, вам было бы намного легче понять, в чем заключается наша проблема. Мы думали, что этот файл был стандартным файлом подкачки там, где его нет.
Мариус Бурз
4

Похоже, вы пытаетесь решить проблему неправильно. Попытка остановить обмен компьютера не гарантирует, что конфиденциальные данные не попадут на диск. Как насчет дампов ядра и т. Д.? Если у вас есть доступное для записи устройство, которое находится в системе, содержащей конфиденциальные данные, его не следует считать «чистым», и его следует уничтожить после окончания его использования.

Если ваши данные настолько чувствительны, вы должны физически обезопасить систему. Каждый, кому необходим доступ к системе, должен быть соответствующим образом проверен и специально уполномочен на это. Их действия должны быть авторизованы, зарегистрированы и контролироваться и т. Д.

Сценарий вы описываете легко управляется. У вас должны быть процедуры для уничтожения устройств, которые содержат конфиденциальные данные, соразмерные с чувствительностью данных. Вы просто не выпускаете устройство из защищенной среды, если оно не подписано соответствующим органом, и в этот момент оно перестает быть вашей проблемой.

user9517 поддерживаемый GoFundMonica
источник
Хотя это интересный технический вопрос, я полностью согласен с этим.
Дан
2

Этого должно быть достаточно для шифрования файлов подкачки виртуальной машины, которые создает ESXi. Попробуйте поместить файлы подкачки в хранилище данных, которое зашифровано, например, SAN с шифрованием или диск с самошифрованием.

Майкл Хэмптон
источник
Это действительно один из способов решения этой проблемы, но все же это только обходной путь. Я предполагаю, что наиболее безопасным было бы использование некоторых локальных SED, есть ли идея, как ESXi их поддерживает?
Мариус Бурз