Como desabilitar arquivos de troca no ESXi?

17

Estamos executando algumas VMs do Solaris / Linux no ESXi que contêm dados criptografados muito sensíveis que, por fim, são descriptografados conforme necessário na memória.

Tudo está bem, exceto pelos arquivos de troca do ESXi que poderiam armazenar alguns dos dados descriptografados, a cereja no topo do bolo é que esses arquivos não serão removidos em caso de falha do host.

Existe alguma maneira de desativar esses arquivos completamente?

Já tentamos reservar toda a RAM alocada para as VMs por VM, mas os arquivos ainda são criados.

O que seria necessário para que a troca do ESXi fosse completamente desativada para todo o host ou apenas para algumas VMs?

    
por Marius Burz 23.12.2012 / 18:33

3 respostas

13

Esta é uma questão interessante. Nunca pensei em segurança de dados no nível do hipervisor ... geralmente, as políticas de segurança e o hardening giram em torno de tarefas específicas do sistema operacional (limitando daemons, portas, desativando arquivos principais, opções de montagem do sistema de arquivos, etc.)

Mas depois de algumas pesquisa rápida ( e executando strings contra arquivos VMware .vswp ativos) mostra que é definitivamente possível extrair dados de arquivos .vswp que residem em um datastore VMWare. Este link ajuda a explicar o ciclo de vida de tais arquivos .

No seu caso, acho que sua abordagem será determinada pela política e pelos requisitos de segurança. Em minha experiência em finanças e em lidar com auditorias, acho que uma abordagem aceita seria limitar / proteger o acesso ao servidor host. Lembre-se de que, por padrão, seu host ESXi não tem acesso SSH ou console ativado. A ativação desses recursos gera um evento / alerta no vCenter que precisa ser manualmente sobrescrita , então a suposição é que o acesso de auditoria é a melhor maneira de controlar o acesso a essas informações.

Se houver dúvidas sobre quem pode ter acesso ao servidor, pode não haver uma solução técnica para um problema administrativo. Vou verificar algumas outras fontes para ver se há uma maneira de limitar o uso de arquivos .vswp.

- editar -

Você pode reservar toda a memória RAM do convidado. Você não especifica qual versão do VMWare você está usando, mas na minha instalação 5.1, há uma opção para Reservar toda a memória do convidado . A ativação dessa opção cria um arquivo .vswp zero-length , em vez de um igual ao tamanho da RAM alocada para a máquina virtual. Não preste atenção ao arquivo vmx - *. Vswp. Isso é novo no ESXi 5.x , e é não relacionado à pressão da memória do sistema operacional do convidado (é para heap do processo VMX, periféricos convidados e gerenciamento agentes). Além disso, os arquivos vmx - *. Vswp podem ser desativados configurando sched.swap.vmxSwapEnabled to FALSE .

Acho que isso vai te dar o que você está pedindo.

Nenhuma reserva de memória (padrão):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Com reserva de memória bloqueada:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
    
por 23.12.2012 / 20:16
4

Parece que você está tentando resolver o problema errado. Tentar parar a troca de máquina não é garantia de que dados sensíveis não serão colocados no disco. E quanto ao core dumps etc? Depois que você tiver um dispositivo gravável que esteja em um sistema que contenha dados confidenciais, ele não deverá ser considerado "limpo" e deverá ser destruído quando o uso terminar.

Se os seus dados são tão sensíveis, você deve proteger fisicamente o sistema. Todos que precisam acessar o sistema devem ser avaliados adequadamente e especificamente autorizados a fazê-lo. Suas atividades precisam ser autorizadas, registradas e supervisionadas, etc.

O cenário descrito é facilmente gerenciado. Você deve ter procedimentos para destruir os dispositivos que contêm dados confidenciais compatíveis com a sensibilidade dos dados. Você simplesmente não deixa o dispositivo sair do seu ambiente seguro, a menos que seja assinado por uma autoridade apropriada, ponto no qual deixa de ser um problema seu.

    
por 23.12.2012 / 21:09
2

Deve ser suficiente para criptografar os arquivos de troca de máquina virtual que o ESXi cria. Experimente colocando os arquivos de troca em um datastore criptografado, como SAN criptografada ou disco de autocriptografia.

    
por 23.12.2012 / 18:47