Bagaimana cara menonaktifkan swap file di ESXi?

18

Kami menjalankan beberapa Solaris / Linux VMs di ESXi yang berisi data terenkripsi yang sangat sensitif yang akhirnya didekripsi sebagaimana yang diperlukan dalam memori.

Semuanya baik-baik saja, kecuali untuk file swap ESXi yang berpotensi dapat menyimpan beberapa data yang didekripsi, ceri di atas kue adalah bahwa file-file ini tidak akan dihapus jika terjadi host crash.

Apakah ada cara untuk menonaktifkan file-file ini sepenuhnya?

Kami sudah mencoba menyimpan seluruh RAM yang dialokasikan ke VM berdasarkan VM, tetapi file-file tersebut masih dapat dibuat.

Apa yang diperlukan untuk menukar ESXi yang sepenuhnya dinonaktifkan untuk seluruh host atau hanya untuk beberapa VM?

security vmware-esxi encryption swap Marius Burz
sumber
Apakah Anda hanya mengkhawatirkan kondisi di mana host ESXi Anda mogok?
ewwhite
1
Mengapa? Siapa yang memiliki akses ke server?
ewwhite
2
Saya tidak bermaksud kasar tetapi saya lebih suka mengembalikan perhatian pada pertanyaan awal.
Marius Burz
1
Tapi @ewwhite adalah salah satu pakar VMware terkemuka kami. Dia tentu saja meminta alasan yang sangat bagus. Bagaimanapun, memahami keseluruhan situasi Anda sangat penting untuk memberi Anda jawaban yang baik .
Michael Hampton
5
Itu adalah audit keamanan yang memicu seluruh situasi, kami hanya akan merasa jauh lebih nyaman karena tidak memiliki memori yang berisi data yang didekripsi dibuang / diserialisasi ke FS.
Marius Burz

Jawaban:

13

Ini pertanyaan yang menarik. Saya tidak pernah memikirkan keamanan data di tingkat hypervisor ... biasanya kebijakan keamanan dan pengerasan berputar di sekitar tugas spesifik OS (membatasi daemon, port, menonaktifkan file inti, opsi pemasangan sistem file, dll.)

Tetapi setelah beberapa penelitian cepat (dan berjalan stringsmelawan file VMWare .vswp aktif) menunjukkan bahwa itu sangat mungkin untuk mengekstrak data dari file .vswp yang berada di datastore VMWare. Tautan ini membantu menjelaskan daur hidup file tersebut.

Dalam kasus Anda, saya pikir pendekatan Anda akan ditentukan kebijakan dan persyaratan keamanan. Dalam pengalaman saya di bidang keuangan dan berurusan dengan audit, saya berpikir bahwa pendekatan yang diterima akan membatasi / mengamankan akses ke server host. Ingatlah bahwa secara default, host ESXi Anda tidak mengaktifkan SSH atau akses konsol. Mengaktifkan fitur-fitur tersebut membuat acara / peringatan di vCenter yang perlu diganti secara manual , sehingga asumsinya adalah bahwa akses audit adalah cara terbaik untuk mengontrol akses ke informasi ini.

Jika ada kekhawatiran tentang siapa yang mungkin memiliki akses ke server, mungkin tidak ada solusi teknis untuk masalah administrasi. Saya akan memeriksa beberapa sumber lain untuk melihat apakah ada cara untuk membatasi penggunaan file .vswp.

--edit--

Anda dapat memesan semua RAM tamu. Anda tidak menentukan versi VMWare mana yang Anda gunakan, tetapi dalam instalasi 5.1 saya, ada opsi untuk Cadangan semua memori tamu . Dengan mengaktifkan opsi ini, buat file .vswp yang panjangnya nol, dan bukan yang sama dengan ukuran RAM yang dialokasikan untuk mesin virtual. Tidak memperhatikan file vmx - *. Vswp. Itu baru untuk ESXi 5.x , dan itu tidak terkait dengan tekanan memori sistem operasi tamu (itu untuk tumpukan proses VMX, peripheral tamu dan agen manajemen). Selain itu, file vmx - *. Vswp dapat dinonaktifkan dengan mengatur sched.swap.vmxSwapEnabledke FALSE.

Saya pikir ini akan memberi Anda apa yang Anda minta.

masukkan deskripsi gambar di sini

Tidak ada reservasi memori (default):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Dengan reservasi memori yang terkunci:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
putih
sumber
1
Skenario teoritis akan melibatkan serangkaian peristiwa (seperti biasa), misalnya host crash, HDD diganti, HDD tersebut mungkin berisi data yang didekripsi dalam file swap semacam itu (tanpa diketahui oleh kebanyakan orang), berakhir di tangan yang salah karena kebanyakan orang berpikir data tersebut pada mereka tidak sensitif (data sensitif terletak pada HDD lain, dienkripsi).
Marius Burz
@MariusBurz Lihat hasil edit di atas.
ewwhite
Kami tidak dapat menyingkirkan file vmx - *. Vswp, tetapi sekarang Anda mengatakannya bukan seperti yang kami kira, kami perlu melihat lagi semuanya. Saya dapat mengkonfirmasi pada mesin uji 5.1 saya @ rumah file vswp standar dibuat dengan 0kb.
Marius Burz
1
@MariusBurz File vmx vswp dikendalikan oleh sched.swap.vmxSwapEnabledparameter. Mereka juga dapat dinonaktifkan.
ewwhite
Terima kasih banyak telah membantu saya keluar @ putih. Saya berharap saya bisa menjelaskannya dengan lebih baik ketika datang ke file apa yang masih dibuat, itu akan jauh lebih mudah bagi Anda untuk mengenali di mana masalah kita berada. Kami pikir file itu adalah file swap standar yang bukan tempatnya.
Marius Burz
4

Sepertinya Anda mencoba menyelesaikan masalah dengan salah. Mencoba menghentikan pertukaran mesin bukan jaminan bahwa data sensitif tidak akan masuk ke disk. Bagaimana dengan core dumps dll? Setelah Anda memiliki perangkat yang dapat ditulisi yang telah berada dalam sistem yang berisi data sensitif, perangkat tersebut tidak boleh dianggap 'bersih' dan harus dimusnahkan saat penggunaannya selesai.

Jika data Anda sensitif, maka Anda harus mengamankan sistem secara fisik. Setiap orang yang membutuhkan akses sistem harus diperiksa dengan benar dan secara khusus berwenang untuk melakukannya. Kegiatan mereka perlu disahkan, dicatat, dan diawasi, dll.

The skenario Anda menggambarkan mudah dikelola. Anda harus memiliki prosedur untuk menghancurkan perangkat yang berisi data sensitif yang sepadan dengan sensitivitas data. Anda sama sekali tidak membiarkan perangkat keluar dari lingkungan aman Anda kecuali ditandatangani oleh otoritas yang sesuai pada saat itu tidak lagi menjadi masalah Anda.

user9517 mendukung GoFundMonica
sumber
Meskipun ini pertanyaan teknis yang menarik, saya setuju dengan ini sepenuhnya.
Dan
2

Itu harus cukup untuk mengenkripsi swapfiles mesin virtual yang dibuat ESXi. Coba letakkan file swapfile pada datastore yang dienkripsi, seperti SAN enkripsi atau disk enkripsi otomatis.

Michael Hampton
sumber
Ini memang salah satu cara untuk memecahkan masalah ini, tetapi masih hanya solusi. Saya berasumsi yang paling aman akan menggunakan beberapa SED lokal, tahu apakah / bagaimana ESXi mendukungnya?
Marius Burz