Kami menjalankan beberapa Solaris / Linux VMs di ESXi yang berisi data terenkripsi yang sangat sensitif yang akhirnya didekripsi sebagaimana yang diperlukan dalam memori.
Semuanya baik-baik saja, kecuali untuk file swap ESXi yang berpotensi dapat menyimpan beberapa data yang didekripsi, ceri di atas kue adalah bahwa file-file ini tidak akan dihapus jika terjadi host crash.
Apakah ada cara untuk menonaktifkan file-file ini sepenuhnya?
Kami sudah mencoba menyimpan seluruh RAM yang dialokasikan ke VM berdasarkan VM, tetapi file-file tersebut masih dapat dibuat.
Apa yang diperlukan untuk menukar ESXi yang sepenuhnya dinonaktifkan untuk seluruh host atau hanya untuk beberapa VM?
security
vmware-esxi
encryption
swap
Marius Burz
sumber
sumber
Jawaban:
Ini pertanyaan yang menarik. Saya tidak pernah memikirkan keamanan data di tingkat hypervisor ... biasanya kebijakan keamanan dan pengerasan berputar di sekitar tugas spesifik OS (membatasi daemon, port, menonaktifkan file inti, opsi pemasangan sistem file, dll.)
Tetapi setelah beberapa penelitian cepat (dan berjalan
strings
melawan file VMWare .vswp aktif) menunjukkan bahwa itu sangat mungkin untuk mengekstrak data dari file .vswp yang berada di datastore VMWare. Tautan ini membantu menjelaskan daur hidup file tersebut.Dalam kasus Anda, saya pikir pendekatan Anda akan ditentukan kebijakan dan persyaratan keamanan. Dalam pengalaman saya di bidang keuangan dan berurusan dengan audit, saya berpikir bahwa pendekatan yang diterima akan membatasi / mengamankan akses ke server host. Ingatlah bahwa secara default, host ESXi Anda tidak mengaktifkan SSH atau akses konsol. Mengaktifkan fitur-fitur tersebut membuat acara / peringatan di vCenter yang perlu diganti secara manual , sehingga asumsinya adalah bahwa akses audit adalah cara terbaik untuk mengontrol akses ke informasi ini.
Jika ada kekhawatiran tentang siapa yang mungkin memiliki akses ke server, mungkin tidak ada solusi teknis untuk masalah administrasi. Saya akan memeriksa beberapa sumber lain untuk melihat apakah ada cara untuk membatasi penggunaan file .vswp.
--edit--
Anda dapat memesan semua RAM tamu. Anda tidak menentukan versi VMWare mana yang Anda gunakan, tetapi dalam instalasi 5.1 saya, ada opsi untuk Cadangan semua memori tamu . Dengan mengaktifkan opsi ini, buat file .vswp yang panjangnya nol, dan bukan yang sama dengan ukuran RAM yang dialokasikan untuk mesin virtual. Tidak memperhatikan file vmx - *. Vswp. Itu baru untuk ESXi 5.x , dan itu tidak terkait dengan tekanan memori sistem operasi tamu (itu untuk tumpukan proses VMX, peripheral tamu dan agen manajemen). Selain itu, file vmx - *. Vswp dapat dinonaktifkan dengan mengatur
sched.swap.vmxSwapEnabled
keFALSE
.Saya pikir ini akan memberi Anda apa yang Anda minta.
Tidak ada reservasi memori (default):
Dengan reservasi memori yang terkunci:
sumber
sched.swap.vmxSwapEnabled
parameter. Mereka juga dapat dinonaktifkan.Sepertinya Anda mencoba menyelesaikan masalah dengan salah. Mencoba menghentikan pertukaran mesin bukan jaminan bahwa data sensitif tidak akan masuk ke disk. Bagaimana dengan core dumps dll? Setelah Anda memiliki perangkat yang dapat ditulisi yang telah berada dalam sistem yang berisi data sensitif, perangkat tersebut tidak boleh dianggap 'bersih' dan harus dimusnahkan saat penggunaannya selesai.
Jika data Anda sensitif, maka Anda harus mengamankan sistem secara fisik. Setiap orang yang membutuhkan akses sistem harus diperiksa dengan benar dan secara khusus berwenang untuk melakukannya. Kegiatan mereka perlu disahkan, dicatat, dan diawasi, dll.
The skenario Anda menggambarkan mudah dikelola. Anda harus memiliki prosedur untuk menghancurkan perangkat yang berisi data sensitif yang sepadan dengan sensitivitas data. Anda sama sekali tidak membiarkan perangkat keluar dari lingkungan aman Anda kecuali ditandatangani oleh otoritas yang sesuai pada saat itu tidak lagi menjadi masalah Anda.
sumber
Itu harus cukup untuk mengenkripsi swapfiles mesin virtual yang dibuat ESXi. Coba letakkan file swapfile pada datastore yang dienkripsi, seperti SAN enkripsi atau disk enkripsi otomatis.
sumber