Wie deaktiviere ich Auslagerungsdateien in ESXi?

18

Wir führen einige Solaris / Linux-VMs auf ESXi aus, die sehr vertrauliche verschlüsselte Daten enthalten, die nach Bedarf im Arbeitsspeicher entschlüsselt werden.

Alles ist in Ordnung, mit Ausnahme der ESXi-Auslagerungsdateien, in denen möglicherweise einige der entschlüsselten Daten gespeichert werden. Der Clou dabei ist, dass diese Dateien im Falle eines Host-Absturzes nicht entfernt werden.

Gibt es eine Möglichkeit, diese Dateien vollständig zu deaktivieren?

Wir haben bereits versucht, den gesamten zugewiesenen RAM pro VM für die VMs zu reservieren, aber die Dateien werden immer noch erstellt.

Was würde es kosten, wenn ESXi-Swap für den gesamten Host oder nur für einige VMs vollständig deaktiviert wäre?

security vmware-esxi encryption swap Marius Burz
quelle
Befürchten Sie nur einen Zustand, in dem Ihr ESXi-Host abstürzt?
ewwhite
1
Warum? Wer hat Zugriff auf den Server?
Ewwhite
2
Ich möchte nicht unhöflich sein, aber ich möchte die Aufmerksamkeit lieber auf die ursprüngliche Frage lenken.
Marius Burz
1
@Ewwhite ist jedoch einer unserer führenden VMware-Experten. Er fragt mit Sicherheit nach einem sehr guten Grund. Schließlich ist es entscheidend, die Gesamtheit Ihrer Situation zu verstehen , um Ihnen eine gute Antwort zu geben .
Michael Hampton
5
Es war eine Sicherheitsüberprüfung, die die gesamte Situation auslöste. Wir fühlten uns einfach so viel wohler, wenn kein Speicher mit entschlüsselten Daten auf den FS kopiert / serialisiert wurde.
Marius Burz

Antworten:

13

Das ist eine interessante Frage. Ich habe noch nie über Datensicherheit auf Hypervisor-Ebene nachgedacht. In der Regel drehen sich Sicherheitsrichtlinien und Hardening um betriebssystemspezifische Aufgaben (Einschränken von Daemons, Ports, Deaktivieren von Core-Dateien, Einhängeoptionen für Dateisysteme usw.).

Nach einer kurzen Recherche (und unter Verwendung stringsaktiver VMWare-Vswp-Dateien) ist es jedoch definitiv möglich, Daten aus Vswp-Dateien zu extrahieren, die sich in einem VMWare-Datenspeicher befinden. Dieser Link erklärt den Lebenszyklus solcher Dateien.

Ich denke, in Ihrem Fall werden die Sicherheitsrichtlinien und -anforderungen festgelegt. Aufgrund meiner Erfahrung in der Finanzierung und im Umgang mit Audits denke ich, dass ein akzeptierter Ansatz darin besteht, den Zugriff auf den Hostserver zu beschränken / zu sichern. Beachten Sie, dass auf Ihrem ESXi-Host standardmäßig kein SSH- oder Konsolenzugriff aktiviert ist. Wenn Sie diese Funktionen aktivieren, wird ein Ereignis / eine Warnung in vCenter ausgelöst, das / die manuell überschrieben werden muss. Daher wird davon ausgegangen, dass der Überwachungszugriff die beste Möglichkeit ist, den Zugriff auf diese Informationen zu steuern.

Wenn Bedenken bestehen, wer möglicherweise Zugriff auf den Server hat, gibt es möglicherweise keine technische Lösung für ein Verwaltungsproblem. Ich werde in einigen anderen Quellen nachsehen, ob es eine Möglichkeit gibt, die Verwendung von .vswp-Dateien einzuschränken.

--bearbeiten--

Sie können den gesamten Gast-RAM reservieren. Sie geben nicht an, welche VMWare-Version Sie verwenden, aber in meiner 5.1-Installation gibt es die Option, den gesamten Gastspeicher zu reservieren . Wenn Sie diese Option aktivieren, wird eine .vswp-Datei mit der Länge Null erstellt, die nicht der Größe des Arbeitsspeichers entspricht, der der virtuellen Maschine zugewiesen ist. Achten Sie nicht auf die Datei vmx - *. Vswp. Das ist neu in ESXi 5.x und hängt nicht mit dem Speicherdruck des Gastbetriebssystems zusammen (dies gilt für VMX-Prozessheap, Gastperipheriegeräte und Verwaltungsagenten). Darüber hinaus können die vmx - *. Vswp - Dateien durch Setzen von sched.swap.vmxSwapEnabledauf deaktiviert werden FALSE.

Ich denke, das gibt dir das, wonach du fragst.

Bildbeschreibung hier eingeben

Keine Speicherplatzreservierung (Standard):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Mit gesperrter Speicherplatzreservierung:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
ewwhite
quelle
1
Ein theoretisches Szenario würde eine Reihe von Ereignissen beinhalten (wie immer), zum Beispiel einen Hostabsturz, Festplatten werden ersetzt, diese Festplatten könnten entschlüsselte Daten in solchen Auslagerungsdateien enthalten (die den meisten unbekannt sind) und in die falschen Hände geraten, weil die meisten an die Daten denken auf ihnen ist nicht so sensibel (die sensiblen Daten liegen auf anderen Festplatten, verschlüsselt).
Marius Burz
@MariusBurz Siehe Änderungen oben.
ewwhite
Wir konnten die vmx - *. Vswp-Dateien nicht loswerden, aber jetzt, da Sie sagen, dass sie nicht so sind, wie wir sie uns vorgestellt haben, müssen wir uns das Ganze noch einmal genauer ansehen. Ich kann auf meinem 5.1-Testcomputer @ home bestätigen, dass die Standard-Vswp-Datei mit 0 KB erstellt wurde.
Marius Burz
1
@MariusBurz Die vmx-vswp-Dateien werden durch den sched.swap.vmxSwapEnabledParameter gesteuert . Sie können auch deaktiviert werden.
ewwhite
Vielen Dank, dass Sie mir bei @ewwhite geholfen haben. Ich wünschte, ich hätte es besser erklären können, da es darum ging, welche Dateien noch erstellt wurden. Es wäre für Sie viel einfacher gewesen, zu erkennen, wo unser Problem lag. Wir dachten, diese Datei sei eine Standard-Auslagerungsdatei, wo dies nicht der Fall war.
Marius Burz
4

Es sieht so aus, als ob Sie versuchen, das Problem falsch zu lösen. Der Versuch, den Maschinenaustausch zu stoppen, ist keine Garantie dafür, dass vertrauliche Daten nicht auf die Festplatte gelangen. Was ist mit Core-Dumps usw.? Sobald Sie ein beschreibbares Gerät in einem System haben, das vertrauliche Daten enthält, sollte es nicht als "sauber" betrachtet werden und sollte zerstört werden, wenn seine Verwendung beendet ist.

Wenn Ihre Daten so vertraulich sind, sollten Sie das System physisch sichern. Jeder, der Zugriff auf das System benötigt, sollte entsprechend überprüft und speziell dazu autorisiert werden. Ihre Aktivitäten müssen autorisiert, protokolliert und überwacht werden usw.

Das von Ihnen beschriebene Szenario ist einfach zu handhaben. Sie sollten über Verfahren zur Zerstörung der Geräte verfügen, die vertrauliche Daten enthalten, die der Vertraulichkeit der Daten entsprechen. Sie lassen das Gerät einfach nicht aus Ihrer sicheren Umgebung heraus, es sei denn, es wurde von einer entsprechenden Behörde signiert, und an diesem Punkt ist es nicht mehr Ihr Problem.

user9517 unterstützt GoFundMonica
quelle
Obwohl es sich um eine interessante technische Frage handelt, stimme ich dem vollkommen zu.
Dan
2

Es sollte ausreichen, die von ESXi erstellten Auslagerungsdateien der virtuellen Maschine zu verschlüsseln. Versuchen Sie , die Swap-Dateien in einem verschlüsselten Datenspeicher abzulegen , z. B. einem verschlüsselnden SAN oder einer selbstverschlüsselnden Festplatte.

Michael Hampton
quelle
Dies ist in der Tat eine Möglichkeit, dieses Problem zu lösen, aber es ist immer noch nur eine Umgehung. Ich gehe davon aus, dass einige lokale SEDs am sichersten sind. Gibt es eine Idee, ob / wie ESXi sie unterstützt?
Marius Burz