Nous exécutons quelques VMS Solaris/Linux sur ESXI contenant des données cryptées très sensibles qui finissent par être déchiffrées selon les besoins en mémoire.
Tout va bien, à l'exception des fichiers ESXI Swaps qui pourraient potentiellement stocker certaines des données déchiffrées, la cerise au-dessus du gâteau étant que ces fichiers ne seront pas supprimés en cas d'accident hôte.
Y a-t-il un moyen de désactiver ces fichiers complètement?
Nous avons déjà essayé de réserver le tout alloué RAM au VMS sur un Per VM, mais les fichiers sont toujours créés.
Que faudrait-il pour que ESXI échange complètement désactivé pour l'ensemble de l'hôte ou uniquement pour certains VMS?
C'est une question intéressante. Je n'ai jamais pensé à la sécurité des données au niveau de l'hyperviseur ... Habituellement de stratégies de sécurité et de durcissement tournez autour des tâches spécifiques au système d'exploitation (démonstration limitant des daemons, des ports, des fichiers principaux, des options de montez des systèmes de fichiers, etc.)
Mais après une partie Research Rapide (et exécutant strings
contre les fichiers VMware Active .vswp) montre qu'il est définitivement possible d'extraire des données de fichiers .vswp résidant sur un magasin de données VMware. Ceci Link aide à expliquer le cycle de vie de tels fichiers.
Dans votre cas, je pense que votre approche sera déterminée de la politique et des exigences de sécurité. Dans mon expérience en finance et en matière d'audits, je pense qu'une approche acceptée serait de limiter/sécuriser l'accès au serveur hôte. Rappelez-vous que par défaut, votre hôte ESXI n'a pas d'accès SSH ou Console activé. Activation de ces fonctionnalités jette un événement/alerte dans vCenter qui doit être répréhensible manuellement . L'hypothèse est que l'audit d'audit est le meilleur moyen de contrôler l'accès à ces informations.
En cas d'inquiétude concernant qui peut avoir accès au serveur, il peut exister une solution technique à un problème administratif. Je vais vérifier d'autres sources pour voir s'il existe un moyen de limiter l'utilisation des fichiers .vswp, cependant.
--Éditer--
Vous pouvez réserver toute la RAM invitée. Vous ne spécifiez pas la version de VMware que vous utilisez, mais dans mon installation 5.1, il y a une option à Réservez toute la mémoire invité. Activation de cette option crée une longueur zéro .VSWP, plutôt que d'une égale à la taille de RAM affectée à la machine virtuelle. Ne faites aucune attention sur le fichier VMX - *. VSWP. C'est nouveau à Esxi 5.x , et c'est non Relatif au La pression de mémoire du système d'exploitation de l'invité (c'est pour le tas de processus VMX, les périphériques invités et les agents de gestion). De plus, les fichiers VMX - *. VSWP peuvent être désactivés en définissant sched.swap.vmxSwapEnabled
à FALSE
.
Je pense que cela vous donnera ce que vous demandez.
Pas de réservation de mémoire (par défaut):
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp
Avec réservation de mémoire verrouillée:
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
Cela ressemble à votre tentative de résoudre le problème de problème. Essayer d'arrêter l'échange de la machine n'est pas une garantie que les données sensibles ne seront pas sur le disque. Qu'en est-il des décharges de base, etc.? Une fois que vous avez un périphérique inscrit dans un système contenant des données sensibles, il ne doit pas être considéré comme "propre" et doit être détruit lorsqu'il est utilisé.
Si vos données sont aussi sensibles, vous devez bien sécuriser physiquement le système. Tous ceux qui ont besoin d'accès au système doivent être vérifiés de manière appropriée et spécifiquement autorisés à le faire. Leurs activités doivent être autorisées, connectées et supervisées, etc.
Le scénario que vous décrivez est facilement géré. Vous devez avoir des procédures de détruire les périphériques contenant des données sensibles à la mesure de la sensibilité des données. Vous ne laissez simplement pas l'appareil hors de votre environnement sécurisé, à moins que cela ne soit signé par une autorité appropriée à laquelle il cesse d'être votre problème.
Il devrait être suffisant de chiffrer les swapfiles de la machine virtuelle que EXXI crée. Essayez mettre les swapfiles sur un magasin de données crypté, tel qu'un cryptage SAN ou un disque auto-cryptage.