Come disabilitare i file di scambio in ESXi?


18

Stiamo eseguendo alcune VM Solaris / Linux su ESXi che contengono dati crittografati molto sensibili che alla fine vengono decifrati come richiesto in memoria.

Va tutto bene, ad eccezione dei file di scambio ESXi che potrebbero potenzialmente archiviare alcuni dei dati decifrati, il vantaggio è che questi file non verranno rimossi in caso di crash dell'host.

C'è un modo per disabilitare completamente questi file?

Abbiamo già provato a riservare l'intera RAM allocata alle VM su una base per VM, ma i file vengono comunque creati.

Cosa sarebbe necessario per disabilitare completamente lo scambio ESXi per l'intero host o solo per alcune macchine virtuali?


Sei preoccupato solo per una condizione in cui l'host ESXi si arresta in modo anomalo?
ewwhite,

1
Perché? Chi ha accesso al server?
ewwhite,

2
Non intendo essere scortese, ma preferirei riportare l'attenzione sulla domanda iniziale.
Marius Burz,

1
Ma @ewwhite è uno dei nostri principali esperti di VMware. Sicuramente sta chiedendo un ottimo motivo. Dopo tutto, capire la totalità della tua situazione è fondamentale per darti una buona risposta .
Michael Hampton

5
È stato un controllo di sicurezza che ha scatenato l'intera situazione, ci sentiremmo molto più a nostro agio non avendo memoria che contenga dati decrittati scaricati / serializzati su FS.
Marius Burz,

Risposte:


13

Questa è una domanda interessante Non ho mai pensato alla sicurezza dei dati a livello di hypervisor ... di solito le politiche di sicurezza e il rafforzamento ruotano attorno a compiti specifici del sistema operativo (limitazione di demoni, porte, disabilitazione di file core, opzioni di montaggio del filesystem, ecc.)

Ma dopo alcune ricerche rapide (e in esecuzione stringssu file VMvare .vswp attivi) mostra che è sicuramente possibile estrarre dati da file .vswp residenti su un archivio dati VMWare. Questo link aiuta a spiegare il ciclo di vita di tali file.

Nel tuo caso, penso che il tuo approccio sarà determinato da criteri e requisiti di sicurezza. Nella mia esperienza in finanza e gestione degli audit, penso che un approccio accettato sarebbe quello di limitare / proteggere l'accesso al server host. Ricordiamo che per impostazione predefinita, l'host ESXi non ha SSH o l'accesso alla console abilitato. L'abilitazione di queste funzionalità genera un evento / avviso in vCenter che deve essere sostituito manualmente , quindi si presume che l'accesso al controllo sia il modo migliore per controllare l'accesso a queste informazioni.

In caso di dubbi su chi potrebbe avere accesso al server, potrebbe non esserci una soluzione tecnica a un problema amministrativo. Controllerò alcune altre fonti per vedere se c'è un modo per limitare l'uso dei file .vswp.

--modificare--

Puoi prenotare tutta la RAM ospite. Non specifichi quale versione di VMWare stai usando, ma nella mia installazione 5.1, c'è un'opzione per prenotare tutta la memoria del guest . Abilitando questa opzione si crea un file .vswp di lunghezza zero, anziché uno uguale alla dimensione della RAM allocata alla macchina virtuale. Non prestare attenzione al file vmx - *. Vswp. È una novità di ESXi 5.x e non è correlato alla pressione della memoria del sistema operativo del guest (è per l'heap di processo VMX, le periferiche guest e gli agenti di gestione). Inoltre, i file vmx - *. Vswp possono essere disabilitati impostando sched.swap.vmxSwapEnabledsu FALSE.

Penso che questo ti darà quello che stai chiedendo.

inserisci qui la descrizione dell'immagine


Nessuna prenotazione di memoria (impostazione predefinita):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Con la prenotazione della memoria bloccata:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp

1
Uno scenario teorico implicherebbe una serie di eventi (come sempre), diciamo che un host si arresta in modo anomalo, gli HDD vengono sostituiti, quegli HDD potrebbero contenere dati decifrati in tali file di scambio (a insaputa della maggior parte), finendo nelle mani sbagliate perché la maggior parte pensa ai dati su di essi non è così sensibile (i dati sensibili si trovano su altri HDD, crittografati).
Marius Burz,

@MariusBurz Vedi le modifiche sopra.
ewwhite,

Non siamo riusciti a sbarazzarci dei file vmx - *. Vswp, ma ora che dici che non sono come pensavamo, dobbiamo dare un'altra occhiata a tutto. Posso confermare sulla mia macchina di prova 5.1 @ home che il file vswp standard viene creato con 0kb.
Marius Burz,

1
@MariusBurz I file vmx vswp sono controllati dal sched.swap.vmxSwapEnabledparametro. Possono anche essere disabilitati.
ewwhite,

Grazie mille per avermi aiutato @ewwhite. Vorrei poterlo spiegare meglio per quanto riguarda i file ancora creati, sarebbe stato molto più facile per te riconoscere dove si trovava il nostro problema. Abbiamo pensato che quel file fosse un file di scambio standard dove non lo era.
Marius Burz,

4

Sembra che tu stia cercando di risolvere il problema in modo sbagliato. Cercare di arrestare lo scambio di macchine non garantisce che i dati sensibili non vengano caricati sul disco. Che dire di core dump ecc? Una volta che hai un dispositivo scrivibile che è stato in un sistema che contiene dati sensibili, non dovrebbe essere considerato "pulito" e dovrebbe essere distrutto quando il suo uso è finito.

Se i tuoi dati sono così sensibili, dovresti proteggere fisicamente il sistema. Tutti coloro che hanno bisogno di accedere al sistema dovrebbero essere controllati in modo appropriato e specificamente autorizzati a farlo. Le loro attività devono essere autorizzate, registrate e supervisionate ecc.

Lo scenario che descrivi è facilmente gestibile. È necessario disporre di procedure per la distruzione dei dispositivi che contengono dati sensibili commisurati alla sensibilità dei dati. Semplicemente, non lasciare che il dispositivo esca dal proprio ambiente sicuro a meno che non sia stato firmato da un'autorità appropriata a quel punto cessa di essere il problema.


Sebbene sia una domanda tecnica interessante, sono completamente d'accordo.
Dan,

2

Dovrebbe essere sufficiente crittografare i file di swap della macchina virtuale creati da ESXi. Prova a mettere i file di scambio su un archivio dati crittografato, ad esempio una SAN crittografica o un disco con crittografia automatica.


Questo è davvero un modo per risolvere questo problema, ma è ancora solo una soluzione alternativa. Presumo che il più sicuro sarebbe utilizzare alcuni SED locali, hai idea di come / come ESXi li supporti?
Marius Burz,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.