22 votos

¿Cómo desactivar los archivos de intercambio en ESXi?

Estamos ejecutando algunas VMs de Solaris / Linux en ESXi que contienen datos cifrados muy sensibles que eventualmente se descifran como se requiere en la memoria.

Todo está bien, excepto los archivos de intercambio de ESXi que potencialmente podrían almacenar algunos de los datos descifrados, la guinda del pastel es que estos archivos no se eliminarán en caso de una caída del host.

¿Hay alguna forma de desactivar completamente estos archivos?

Ya hemos probado a reservar toda la RAM asignada a las máquinas virtuales por cada una de ellas, pero los archivos se siguen creando.

¿Qué haría falta para tener el intercambio de ESXi completamente deshabilitado para todo el host o sólo para algunas máquinas virtuales?

14voto

Tina Puntos 21

Esta es una pregunta interesante. Nunca he pensado en la seguridad de los datos a nivel del hipervisor... normalmente las políticas de seguridad y el endurecimiento giran en torno a tareas específicas del sistema operativo (limitar los demonios, los puertos, deshabilitar los archivos principales, las opciones de montaje del sistema de archivos, etc.)

Pero después de algunos investigación rápida (y corriendo strings contra los archivos .vswp activos de VMWare) muestra que definitivamente es posible extraer datos de los archivos .vswp que residen en un datastore de VMWare. Este enlace ayuda a explicar el ciclo de vida de estos archivos.

En su caso, creo que su enfoque va a estar determinado por la política de seguridad y los requisitos. Según mi experiencia en finanzas y en el manejo de auditorías, creo que un enfoque aceptado sería limitar/segurar el acceso al servidor anfitrión. Recuerde que por defecto, su host ESXi no tiene habilitado el acceso SSH o de consola. La habilitación de estas características lanza un evento/alerta en vCenter que necesita ser anulado manualmente Por lo tanto, la suposición es que la auditoría de acceso es la mejor manera de controlar el acceso a esta información.

Si hay dudas sobre quién puede tener acceso al servidor, puede que no haya una solución técnica a un problema administrativo. Sin embargo, voy a comprobar otras fuentes para ver si hay una manera de limitar el uso de los archivos .vswp.

--edit--

Puedes reservar toda la RAM para invitados. No especifica qué versión de VMWare está utilizando, pero en mi instalación 5.1, hay una opción para Reservar toda la memoria de invitados . Al activar esta opción se crea un longitud cero .vswp, en lugar de uno igual al tamaño de la memoria RAM asignada a la máquina virtual. No preste atención al archivo vmx-*.vswp. Esto es nuevo en ESXi 5.x y es no relacionados con el presión de la memoria del sistema operativo del huésped (es para la pila de procesos VMX, los periféricos del huésped y los agentes de gestión). Además, los archivos vmx-*.vswp pueden desactivarse configurando sched.swap.vmxSwapEnabled a FALSE .

Creo que esto te dará lo que pides.

enter image description here


Sin reserva de memoria (por defecto):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Con la reserva de memoria bloqueada:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp

4voto

katit Puntos 130

Parece que estás tratando de resolver el problema mal. Intentar detener el intercambio de la máquina no garantiza que los datos sensibles no lleguen al disco. ¿Qué pasa con los volcados de núcleo, etc.? Una vez que se tiene un dispositivo con capacidad de escritura que ha estado en un sistema que contiene datos sensibles, no debería considerarse "limpio" y debería ser destruido cuando se termine su uso.

Si sus datos son tan sensibles, debería asegurar físicamente el sistema. Todas las personas que necesiten acceder al sistema deben ser investigadas adecuadamente y autorizadas específicamente para ello. Sus actividades deben ser autorizadas, registradas y supervisadas, etc.

El escenario que describe es fácil de gestionar. Debe tener procedimientos para destruir los dispositivos que contengan datos sensibles proporcionales a la sensibilidad de los datos. Simplemente no dejes que el dispositivo salga de tu entorno seguro a menos que esté firmado por una autoridad apropiada, momento en el que deja de ser tu problema.

2voto

Michael Hampton Puntos 88271

Debería ser suficiente para cifrar los archivos de intercambio de la máquina virtual que crea ESXi. Prueba con poner los archivos de intercambio en un almacén de datos que está encriptado, como una SAN encriptada o un disco autoencriptado.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: