Esta é uma questão interessante. Nunca pensei em segurança de dados no nível do hipervisor ... geralmente, as políticas de segurança e o hardening giram em torno de tarefas específicas do sistema operacional (limitando daemons, portas, desativando arquivos principais, opções de montagem do sistema de arquivos, etc.)
Mas depois de algumas pesquisa rápida ( e executando strings
contra arquivos VMware .vswp ativos) mostra que é definitivamente possível extrair dados de arquivos .vswp que residem em um datastore VMWare. Este link ajuda a explicar o ciclo de vida de tais arquivos .
No seu caso, acho que sua abordagem será determinada pela política e pelos requisitos de segurança. Em minha experiência em finanças e em lidar com auditorias, acho que uma abordagem aceita seria limitar / proteger o acesso ao servidor host. Lembre-se de que, por padrão, seu host ESXi não tem acesso SSH ou console ativado. A ativação desses recursos gera um evento / alerta no vCenter que precisa ser manualmente sobrescrita , então a suposição é que o acesso de auditoria é a melhor maneira de controlar o acesso a essas informações.
Se houver dúvidas sobre quem pode ter acesso ao servidor, pode não haver uma solução técnica para um problema administrativo. Vou verificar algumas outras fontes para ver se há uma maneira de limitar o uso de arquivos .vswp.
- editar -
Você pode reservar toda a memória RAM do convidado. Você não especifica qual versão do VMWare você está usando, mas na minha instalação 5.1, há uma opção para Reservar toda a memória do convidado . A ativação dessa opção cria um arquivo .vswp zero-length , em vez de um igual ao tamanho da RAM alocada para a máquina virtual. Não preste atenção ao arquivo vmx - *. Vswp. Isso é novo no ESXi 5.x , e é não relacionado à pressão da memória do sistema operacional do convidado (é para heap do processo VMX, periféricos convidados e gerenciamento agentes). Além disso, os arquivos vmx - *. Vswp podem ser desativados configurando sched.swap.vmxSwapEnabled
to FALSE
.
Acho que isso vai te dar o que você está pedindo.
Nenhuma reserva de memória (padrão):
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp
Com reserva de memória bloqueada:
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp