Questa è una domanda interessante Non ho mai pensato alla sicurezza dei dati a livello di hypervisor ... di solito le politiche di sicurezza e il rafforzamento ruotano attorno a compiti specifici del sistema operativo (limitazione di demoni, porte, disabilitazione di file core, opzioni di montaggio del filesystem, ecc.)
Ma dopo alcune ricerche rapide (e in esecuzione strings
su file VMvare .vswp attivi) mostra che è sicuramente possibile estrarre dati da file .vswp residenti su un archivio dati VMWare. Questo link aiuta a spiegare il ciclo di vita di tali file.
Nel tuo caso, penso che il tuo approccio sarà determinato da criteri e requisiti di sicurezza. Nella mia esperienza in finanza e gestione degli audit, penso che un approccio accettato sarebbe quello di limitare / proteggere l'accesso al server host. Ricordiamo che per impostazione predefinita, l'host ESXi non ha SSH o l'accesso alla console abilitato. L'abilitazione di queste funzionalità genera un evento / avviso in vCenter che deve essere sostituito manualmente , quindi si presume che l'accesso al controllo sia il modo migliore per controllare l'accesso a queste informazioni.
In caso di dubbi su chi potrebbe avere accesso al server, potrebbe non esserci una soluzione tecnica a un problema amministrativo. Controllerò alcune altre fonti per vedere se c'è un modo per limitare l'uso dei file .vswp.
--modificare--
Puoi prenotare tutta la RAM ospite. Non specifichi quale versione di VMWare stai usando, ma nella mia installazione 5.1, c'è un'opzione per prenotare tutta la memoria del guest . Abilitando questa opzione si crea un file .vswp di lunghezza zero, anziché uno uguale alla dimensione della RAM allocata alla macchina virtuale. Non prestare attenzione al file vmx - *. Vswp. È una novità di ESXi 5.x e non è correlato alla pressione della memoria del sistema operativo del guest (è per l'heap di processo VMX, le periferiche guest e gli agenti di gestione). Inoltre, i file vmx - *. Vswp possono essere disabilitati impostando sched.swap.vmxSwapEnabled
su FALSE
.
Penso che questo ti darà quello che stai chiedendo.
Nessuna prenotazione di memoria (impostazione predefinita):
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp
Con la prenotazione della memoria bloccata:
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp