Como desativar arquivos de troca no ESXi?

18

Estamos executando algumas VMs Solaris / Linux no ESXi que contêm dados criptografados muito sensíveis que eventualmente são descriptografados conforme necessário na memória.

Está tudo bem, exceto os arquivos de troca ESXi que podem armazenar alguns dos dados descriptografados, a cereja no topo do bolo é que esses arquivos não serão removidos em caso de falha do host.

Existe alguma maneira de desativar esses arquivos completamente?

Já tentamos reservar toda a RAM alocada para as VMs por VM, mas os arquivos ainda são criados.

O que seria necessário para que a troca do ESXi fosse completamente desativada para todo o host ou apenas para algumas VMs?

security vmware-esxi encryption swap Marius Burz
fonte
Você está preocupado apenas com uma condição em que seu host ESXi trava?
ewwhite
11
Por quê? Quem tem acesso ao servidor?
ewwhite
2
Não quero ser rude, mas prefiro voltar a atenção para a pergunta inicial.
Marius Burz
11
Mas o @ewwhite é um dos nossos principais especialistas em VMware. Ele certamente está pedindo uma boa razão. Afinal, compreender a totalidade da sua situação é fundamental para lhe dar uma boa resposta .
Michael Hampton
5
Foi uma auditoria de segurança que desencadeou toda a situação; nos sentiríamos muito mais confortáveis ​​sem ter memória que contenha dados descriptografados despejados / serializados no FS.
Marius Burz

Respostas:

13

Esta é uma pergunta interessante. Eu nunca pensei em segurança de dados no nível do hipervisor ... geralmente as políticas de segurança e o fortalecimento giram em torno de tarefas específicas do sistema operacional (limitando daemons, portas, desativando arquivos principais, opções de montagem do sistema de arquivos etc.)

Porém, após algumas pesquisas rápidas (e em execução stringsnos arquivos .vswp ativos do VMWare), é definitivamente possível extrair dados dos arquivos .vswp que residem em um armazenamento de dados VMWare. Este link ajuda a explicar o ciclo de vida desses arquivos.

No seu caso, acho que sua abordagem será determinada política e requisitos de segurança. Na minha experiência em finanças e lidar com auditorias, acho que uma abordagem aceita seria limitar / proteger o acesso ao servidor host. Lembre-se de que, por padrão, seu host ESXi não tem acesso SSH ou console ativado. A ativação desses recursos gera um evento / alerta no vCenter que precisa ser substituído manualmente , portanto, a suposição é de que a auditoria do acesso é a melhor maneira de controlar o acesso a essas informações.

Se houver preocupações sobre quem pode ter acesso ao servidor, pode não haver uma solução técnica para um problema administrativo. Vou verificar algumas outras fontes para ver se há uma maneira de limitar o uso de arquivos .vswp.

--editar--

Você pode reservar toda a RAM convidada. Você não especifica qual versão do VMWare está usando, mas na minha instalação 5.1, há uma opção para reservar toda a memória de convidado . A habilitação dessa opção cria um arquivo .vswp de tamanho zero, em vez de um igual ao tamanho da RAM alocada para a máquina virtual. Não preste atenção ao arquivo vmx - *. Vswp. Isso é novo para ESXi 5.x , e é não relacionada com a pressão de memória do sistema operacional hóspede (que é para VMX pilha do processo, periféricos de hóspedes e agentes de gerenciamento). Além disso, os arquivos vmx - *. Vswp podem ser desativados configurando sched.swap.vmxSwapEnabledpara FALSE.

Eu acho que isso lhe dará o que você está pedindo.

insira a descrição da imagem aqui

Nenhuma reserva de memória (padrão):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Com a reserva de memória bloqueada:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
ewwhite
fonte
11
Um cenário teórico envolveria uma série de eventos (como sempre), digamos, um host trava, os HDDs são substituídos, esses HDDs podem conter dados descriptografados em tais arquivos de troca (que não são do conhecimento da maioria) e acabam nas mãos erradas porque a maioria pensa que os dados neles não é tão sensível (os dados sensíveis estão em outros HDDs, criptografados).
Marius Burz
@MariusBurz Veja as edições acima.
ewwhite
Não conseguimos nos livrar dos arquivos vmx - *. Vswp, mas agora que você diz que eles não são o que pensávamos, precisamos dar uma nova olhada na coisa toda. Posso confirmar na minha máquina de teste 5.1 @ home que o arquivo vswp padrão é criado com 0kb.
Marius Burz
11
@MariusBurz Os arquivos vmx vswp são controlados pelo sched.swap.vmxSwapEnabledparâmetro Eles também podem ser desativados.
ewwhite
Muito obrigado por me ajudar @ewwhite. Eu gostaria de poder ter explicado melhor como foram os arquivos ainda criados, teria sido muito mais fácil para você reconhecer onde estava o nosso problema. Achamos que esse arquivo era um arquivo de troca padrão, onde não era.
Marius Burz
4

Parece que você está tentando resolver o problema errado. Tentar interromper a troca da máquina não garante que dados confidenciais não entrem no disco. E quanto aos core dumps etc? Depois de ter um dispositivo gravável em um sistema que contém dados confidenciais, ele não deve ser considerado "limpo" e deve ser destruído quando o uso terminar.

Se seus dados são sensíveis, você deve proteger fisicamente o sistema. Todos que precisam acessar o sistema devem ser examinados de forma apropriada e especificamente autorizada a fazê-lo. Suas atividades precisam ser autorizadas, registradas e supervisionadas, etc.

O cenário que você descreve é facilmente gerenciado. Você deve ter procedimentos para destruir os dispositivos que contêm dados confidenciais compatíveis com a sensibilidade dos dados. Você simplesmente não deixa o dispositivo fora do seu ambiente seguro, a menos que tenha sido assinado por uma autoridade apropriada, momento em que deixa de ser seu problema.

user9517 suporta GoFundMonica
fonte
Embora seja uma questão técnica interessante, concordo totalmente com isso.
21412 Dan
2

Deve ser suficiente criptografar os arquivos de troca da máquina virtual que o ESXi cria. Tente colocar os arquivos de troca em um armazenamento de dados criptografado, como uma SAN criptografada ou um disco de criptografia automática.

Michael Hampton
fonte
Esta é realmente uma maneira de resolver esse problema, mas ainda é apenas uma solução alternativa. Suponho que o mais seguro seria usar alguns SEDs locais, alguma ideia de como / como o ESXi os suporta?
Marius Burz