¿Cómo deshabilitar los archivos de intercambio en ESXi?

18

Estamos ejecutando algunas máquinas virtuales Solaris / Linux en ESXi que contienen datos cifrados muy confidenciales que eventualmente se descifran según sea necesario en la memoria.

Todo está bien, excepto los archivos de intercambio de ESXi que podrían almacenar algunos de los datos descifrados, lo más importante es que estos archivos no se eliminarán en caso de un bloqueo del host.

¿Hay alguna forma de deshabilitar estos archivos por completo?

Ya intentamos reservar toda la RAM asignada a las máquinas virtuales por máquina virtual, pero los archivos aún se crean.

¿Qué se necesitaría para tener el intercambio de ESXi completamente deshabilitado para todo el host o solo para algunas máquinas virtuales?

security  vmware-esxi  encryption  swap 
Marius Burz
fuente
¿Solo le preocupa una condición en la que su host ESXi falla?
ewwhite
1
¿Por qué? ¿Quién tiene acceso al servidor?
ewwhite
2
No quiero ser grosero, pero prefiero volver la atención a la pregunta inicial.
Marius Burz
1
Pero @ewwhite es uno de nuestros principales expertos de VMware. Ciertamente está pidiendo una muy buena razón. Después de todo, comprender la totalidad de su situación es fundamental para darle una buena respuesta .
Michael Hampton
55
Fue una auditoría de seguridad que desencadenó toda la situación, nos sentiríamos mucho más cómodos al no tener memoria que contenga datos descifrados descargados / serializados al FS.
Marius Burz el

Respuestas:

13

Esta es una pregunta interesante. Nunca he pensado en la seguridad de los datos a nivel de hipervisor ... por lo general, las políticas de seguridad y el fortalecimiento giran en torno a tareas específicas del sistema operativo (limitación de demonios, puertos, desactivación de archivos principales, opciones de montaje del sistema de archivos, etc.)

Pero después de una investigación rápida (y ejecutar stringscontra archivos activos VMWare .vswp) muestra que definitivamente es posible extraer datos de archivos .vswp que residen en un almacén de datos VMWare. Este enlace ayuda a explicar el ciclo de vida de dichos archivos.

En su caso, creo que su enfoque estará determinado por la política y los requisitos de seguridad. En mi experiencia en finanzas y en el manejo de auditorías, creo que un enfoque aceptado sería limitar / asegurar el acceso al servidor host. Recuerde que, de manera predeterminada, su host ESXi no tiene SSH o acceso a la consola habilitado. Habilitar esas funciones genera un evento / alerta en vCenter que debe anularse manualmente , por lo que se supone que auditar el acceso es la mejor manera de controlar el acceso a esta información.

Si hay inquietudes acerca de quién puede tener acceso al servidor, puede que no haya una solución técnica a un problema administrativo. Sin embargo, comprobaré algunas otras fuentes para ver si hay una manera de limitar el uso de archivos .vswp.

--editar--

Puede reservar toda la RAM de invitado. No especifica qué versión de VMWare está utilizando, pero en mi instalación 5.1, hay una opción para reservar toda la memoria del invitado . Al habilitar esta opción, se crea un archivo .vswp de longitud cero, en lugar de uno igual al tamaño de RAM asignado a la máquina virtual. No preste atención al archivo vmx - *. Vswp. Eso es nuevo para ESXi 5.x , y está no relacionado con el funcionamiento de la memoria del sistema de presión de los huéspedes (que es para VMX montón de proceso, periféricos invitados y agentes de administración). Además, los archivos vmx - *. Vswp se pueden deshabilitar estableciendo sched.swap.vmxSwapEnableden FALSE.

Creo que esto te dará lo que estás pidiendo.

ingrese la descripción de la imagen aquí

Sin reserva de memoria (predeterminado):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Con la reserva de memoria bloqueada:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
ewwhite
fuente
1
Un escenario teórico implicaría una serie de eventos (como siempre), por ejemplo, un host se bloquea, los discos duros se reemplazan, esos discos duros pueden contener datos descifrados en dichos archivos de intercambio (desconocido para la mayoría), terminan en las manos equivocadas porque la mayoría piensa que los datos en ellos no es tan sensible (los datos confidenciales se encuentran en otros discos duros, encriptados).
Marius Burz el
@MariusBurz Vea las ediciones anteriores.
ewwhite
No pudimos deshacernos de los archivos vmx - *. Vswp, pero ahora que dices que no son lo que pensamos que son, necesitamos echar un vistazo a todo el asunto. Puedo confirmar en mi máquina de prueba 5.1 @ home que el archivo vswp estándar se crea con 0kb.
Marius Burz
1
@MariusBurz Los archivos vmx vswp son controlados por el sched.swap.vmxSwapEnabledparámetro. También se pueden deshabilitar.
ewwhite
Muchas gracias por ayudarme @ewwhite. Desearía haberlo explicado mejor en lo que respecta a los archivos que todavía se crearon, habría sido mucho más fácil para ti reconocer dónde estaba nuestro problema. Pensamos que ese archivo era un archivo de intercambio estándar donde no estaba.
Marius Burz
4

Parece que estás tratando de resolver el problema mal. Intentar detener el intercambio de la máquina no garantiza que los datos confidenciales no lleguen al disco. ¿Qué pasa con los volcados de núcleo, etc.? Una vez que tenga un dispositivo grabable que haya estado en un sistema que contenga datos confidenciales, no debe considerarse "limpio" y debe destruirse cuando finalice su uso.

Si sus datos son tan confidenciales, debe proteger físicamente el sistema. Toda persona que necesite acceder al sistema debe ser examinada de manera apropiada y autorizada específicamente para hacerlo. Sus actividades deben ser autorizadas, registradas y supervisadas, etc.

El escenario que describe se maneja fácilmente. Debe tener procedimientos para destruir los dispositivos que contienen datos confidenciales proporcionales a la sensibilidad de los datos. Simplemente no deje que el dispositivo salga de su entorno seguro a menos que esté firmado por una autoridad apropiada en cuyo punto deja de ser su problema.

user9517 es compatible con GoFundMonica
fuente
Si bien es una pregunta técnica interesante, estoy completamente de acuerdo con esto.
Dan
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.