Wir führen einige Solaris / Linux-VMs auf ESXi aus, die sehr vertrauliche verschlüsselte Daten enthalten, die nach Bedarf im Arbeitsspeicher entschlüsselt werden.
Alles ist in Ordnung, mit Ausnahme der ESXi-Auslagerungsdateien, in denen möglicherweise einige der entschlüsselten Daten gespeichert werden. Der Clou dabei ist, dass diese Dateien im Falle eines Host-Absturzes nicht entfernt werden.
Gibt es eine Möglichkeit, diese Dateien vollständig zu deaktivieren?
Wir haben bereits versucht, den gesamten zugewiesenen RAM pro VM für die VMs zu reservieren, aber die Dateien werden immer noch erstellt.
Was würde es kosten, wenn ESXi-Swap für den gesamten Host oder nur für einige VMs vollständig deaktiviert wäre?
security
vmware-esxi
encryption
swap
Marius Burz
quelle
quelle
Antworten:
Das ist eine interessante Frage. Ich habe noch nie über Datensicherheit auf Hypervisor-Ebene nachgedacht. In der Regel drehen sich Sicherheitsrichtlinien und Hardening um betriebssystemspezifische Aufgaben (Einschränken von Daemons, Ports, Deaktivieren von Core-Dateien, Einhängeoptionen für Dateisysteme usw.).
Nach einer kurzen Recherche (und unter Verwendung
strings
aktiver VMWare-Vswp-Dateien) ist es jedoch definitiv möglich, Daten aus Vswp-Dateien zu extrahieren, die sich in einem VMWare-Datenspeicher befinden. Dieser Link erklärt den Lebenszyklus solcher Dateien.Ich denke, in Ihrem Fall werden die Sicherheitsrichtlinien und -anforderungen festgelegt. Aufgrund meiner Erfahrung in der Finanzierung und im Umgang mit Audits denke ich, dass ein akzeptierter Ansatz darin besteht, den Zugriff auf den Hostserver zu beschränken / zu sichern. Beachten Sie, dass auf Ihrem ESXi-Host standardmäßig kein SSH- oder Konsolenzugriff aktiviert ist. Wenn Sie diese Funktionen aktivieren, wird ein Ereignis / eine Warnung in vCenter ausgelöst, das / die manuell überschrieben werden muss. Daher wird davon ausgegangen, dass der Überwachungszugriff die beste Möglichkeit ist, den Zugriff auf diese Informationen zu steuern.
Wenn Bedenken bestehen, wer möglicherweise Zugriff auf den Server hat, gibt es möglicherweise keine technische Lösung für ein Verwaltungsproblem. Ich werde in einigen anderen Quellen nachsehen, ob es eine Möglichkeit gibt, die Verwendung von .vswp-Dateien einzuschränken.
--bearbeiten--
Sie können den gesamten Gast-RAM reservieren. Sie geben nicht an, welche VMWare-Version Sie verwenden, aber in meiner 5.1-Installation gibt es die Option, den gesamten Gastspeicher zu reservieren . Wenn Sie diese Option aktivieren, wird eine .vswp-Datei mit der Länge Null erstellt, die nicht der Größe des Arbeitsspeichers entspricht, der der virtuellen Maschine zugewiesen ist. Achten Sie nicht auf die Datei vmx - *. Vswp. Das ist neu in ESXi 5.x und hängt nicht mit dem Speicherdruck des Gastbetriebssystems zusammen (dies gilt für VMX-Prozessheap, Gastperipheriegeräte und Verwaltungsagenten). Darüber hinaus können die vmx - *. Vswp - Dateien durch Setzen von
sched.swap.vmxSwapEnabled
auf deaktiviert werdenFALSE
.Ich denke, das gibt dir das, wonach du fragst.
Keine Speicherplatzreservierung (Standard):
Mit gesperrter Speicherplatzreservierung:
quelle
sched.swap.vmxSwapEnabled
Parameter gesteuert . Sie können auch deaktiviert werden.Es sieht so aus, als ob Sie versuchen, das Problem falsch zu lösen. Der Versuch, den Maschinenaustausch zu stoppen, ist keine Garantie dafür, dass vertrauliche Daten nicht auf die Festplatte gelangen. Was ist mit Core-Dumps usw.? Sobald Sie ein beschreibbares Gerät in einem System haben, das vertrauliche Daten enthält, sollte es nicht als "sauber" betrachtet werden und sollte zerstört werden, wenn seine Verwendung beendet ist.
Wenn Ihre Daten so vertraulich sind, sollten Sie das System physisch sichern. Jeder, der Zugriff auf das System benötigt, sollte entsprechend überprüft und speziell dazu autorisiert werden. Ihre Aktivitäten müssen autorisiert, protokolliert und überwacht werden usw.
Das von Ihnen beschriebene Szenario ist einfach zu handhaben. Sie sollten über Verfahren zur Zerstörung der Geräte verfügen, die vertrauliche Daten enthalten, die der Vertraulichkeit der Daten entsprechen. Sie lassen das Gerät einfach nicht aus Ihrer sicheren Umgebung heraus, es sei denn, es wurde von einer entsprechenden Behörde signiert, und an diesem Punkt ist es nicht mehr Ihr Problem.
quelle
Es sollte ausreichen, die von ESXi erstellten Auslagerungsdateien der virtuellen Maschine zu verschlüsseln. Versuchen Sie , die Swap-Dateien in einem verschlüsselten Datenspeicher abzulegen , z. B. einem verschlüsselnden SAN oder einer selbstverschlüsselnden Festplatte.
quelle