Jak wyłączyć pliki wymiany w ESXi?

18

Obsługujemy kilka maszyn wirtualnych Solaris / Linux na ESXi, które zawierają bardzo wrażliwe zaszyfrowane dane, które ostatecznie są odszyfrowywane zgodnie z wymaganiami pamięci.

Wszystko jest w porządku, z wyjątkiem plików wymiany ESXi, które potencjalnie mogą przechowywać niektóre odszyfrowane dane, a główną zaletą jest to, że pliki te nie zostaną usunięte w przypadku awarii hosta.

Czy jest jakiś sposób, aby całkowicie wyłączyć te pliki?

Próbowaliśmy już zarezerwować całą przydzieloną pamięć RAM dla maszyn wirtualnych na podstawie poszczególnych maszyn wirtualnych, ale pliki nadal są tworzone.

Co trzeba zrobić, aby wymiana ESXi była całkowicie wyłączona dla całego hosta lub tylko dla niektórych maszyn wirtualnych?

security vmware-esxi encryption swap Marius Burz
źródło
Czy martwi Cię tylko stan, w którym Twój host ESXi ulega awarii?
ewwhite
1
Dlaczego? Kto ma dostęp do serwera?
ewwhite
2
Nie chcę być niegrzeczny, ale wolę zwrócić uwagę na początkowe pytanie.
Marius Burz
1
Ale @ewwhite jest jednym z naszych czołowych ekspertów VMware. Z pewnością prosi o bardzo dobry powód. W końcu zrozumienie całości swojej sytuacji ma kluczowe znaczenie dla udzielenia dobrej odpowiedzi .
Michael Hampton
5
Był to audyt bezpieczeństwa, który wywołał całą sytuację, po prostu czulibyśmy się o wiele bardziej komfortowo, nie mając pamięci zawierającej odszyfrowane dane zrzucone / zserializowane do FS.
Marius Burz

Odpowiedzi:

13

To interesujące pytanie. Nigdy nie myślałem o bezpieczeństwie danych na poziomie hiperwizora ... zwykle zasady bezpieczeństwa i hartowanie dotyczą zadań specyficznych dla systemu operacyjnego (ograniczanie demonów, portów, wyłączanie podstawowych plików, opcji montowania systemu plików itp.)

Ale po kilku szybkich badaniach (i uruchomionych w stringsstosunku do aktywnych plików .vswp VMWare) zdecydowanie można wyodrębnić dane z plików .vswp znajdujących się w magazynie danych VMWare. Ten link pomaga wyjaśnić cykl życia takich plików.

W twoim przypadku myślę, że twoje podejście będzie determinować politykę bezpieczeństwa i wymagania. Z mojego doświadczenia w zakresie finansów i kontroli, uważam, że przyjętym podejściem byłoby ograniczenie / bezpieczny dostęp do serwera hosta. Przypomnij, że domyślnie host ESXi nie ma włączonego SSH ani dostępu do konsoli. Włączenie tych funkcji generuje zdarzenie / alert w vCenter, które należy ręcznie zastąpić , dlatego założono , że kontrola dostępu jest najlepszym sposobem kontrolowania dostępu do tych informacji.

Jeśli istnieją obawy dotyczące tego, kto może mieć dostęp do serwera, może nie być technicznego rozwiązania problemu administracyjnego. Sprawdzę jednak inne źródła, aby sprawdzić, czy istnieje sposób na ograniczenie wykorzystania plików .vswp.

--edytować--

Możesz zarezerwować całą pamięć RAM dla gości. Nie określasz, której wersji VMWare używasz, ale w mojej instalacji 5.1 istnieje możliwość zarezerwowania całej pamięci gościa . Włączenie tej opcji powoduje utworzenie pliku .vswp o zerowej długości , zamiast jednego równego rozmiarowi pamięci RAM przydzielonej maszynie wirtualnej. Nie zwracaj uwagi na plik vmx - *. Vswp. To nowe dla ESXi 5.x , i to nie związane z działającego ciśnienia pamięci systemowej gości (to dla VMX procesu sterty, urządzeń peryferyjnych gości i agentów zarządzania). Ponadto pliki vmx - *. Vswp można wyłączyć, ustawiając sched.swap.vmxSwapEnabledna FALSE.

Myślę, że to da ci to, o co prosisz.

wprowadź opis zdjęcia tutaj

Brak rezerwacji pamięci (domyślnie):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Z zablokowaną rezerwacją pamięci:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
ewwhite
źródło
1
Teoretyczny scenariusz obejmowałby ciąg zdarzeń (jak zawsze), powiedzmy, że host ulega awarii, dyski twarde zostaną wymienione, dyski twarde mogą zawierać odszyfrowane dane w takich plikach wymiany (nieznane większości), trafią w niepowołane ręce, ponieważ większość uważa, że ​​dane na nich nie jest tak wrażliwy (wrażliwe dane leżą na innych dyskach twardych, zaszyfrowane).
Marius Burz
@MariusBurz Zobacz zmiany powyżej.
ewwhite
Nie mogliśmy się pozbyć plików vmx - *. Vswp, ale teraz, gdy mówisz, że nie są tym, za co się nam wydawało, musimy przyjrzeć się temu jeszcze raz. Mogę potwierdzić na mojej maszynie testowej 5.1 @ home, że standardowy plik vswp jest tworzony z 0kb.
Marius Burz
1
@MariusBurz Pliki vmx vswp są kontrolowane przez sched.swap.vmxSwapEnabledparametr. Można je również wyłączyć.
ewwhite
Dziękuję bardzo za pomoc w @ewwhite. Chciałbym móc to lepiej wyjaśnić, ponieważ chodziło o to, jakie pliki są nadal tworzone, łatwiej byłoby ci rozpoznać, gdzie leżał nasz problem. Myśleliśmy, że ten plik był standardowym plikiem wymiany, w którym nie był.
Marius Burz
4

Wygląda na to, że próbujesz rozwiązać problem w niewłaściwy sposób. Próba zatrzymania zamiany maszyny nie gwarantuje, że wrażliwe dane nie dostaną się na dysk. Co z zrzutami rdzenia itp.? Gdy masz zapisywalne urządzenie, które znajdowało się w systemie zawierającym poufne dane, nie powinno być uważane za „czyste” i powinno zostać zniszczone po zakończeniu użytkowania.

Jeśli Twoje dane są wrażliwe, powinieneś fizycznie zabezpieczyć system. Każdy, kto potrzebuje dostępu do systemu, powinien zostać odpowiednio sprawdzony i specjalnie do tego upoważniony. Ich działania muszą być autoryzowane, rejestrowane i nadzorowane itp.

Opisać scenariusz jest łatwo zarządzać. Powinieneś mieć procedury niszczenia urządzeń, które zawierają wrażliwe dane, proporcjonalnie do ich wrażliwości. Po prostu nie wypuszczasz urządzenia z bezpiecznego środowiska, chyba że zostanie podpisane przez odpowiedni organ, w którym to momencie przestaje być twoim problemem.

user9517 obsługiwaneGoFundMonica
źródło
Chociaż jest to interesujące pytanie techniczne, całkowicie się z tym zgadzam.
Dan
2

Powinno wystarczyć zaszyfrowanie plików wymiany maszyn wirtualnych tworzonych przez ESXi. Spróbuj umieścić pliki wymiany w zaszyfrowanym magazynie danych , takim jak szyfrujący SAN lub dysk samoszyfrujący.

Michael Hampton
źródło
Jest to rzeczywiście jeden ze sposobów rozwiązania tego problemu, ale nadal jest to tylko obejście. Zakładam, że najbezpieczniejszym byłoby korzystanie z niektórych lokalnych dysków SED, każdy pomysł, czy / w jaki sposób obsługuje je ESXi?
Marius Burz