ESXi'deki takas dosyaları nasıl devre dışı bırakılır?

18

ESXi'de, bellekte gerektiği gibi şifresi çözülen çok hassas şifrelenmiş veriler içeren birkaç Solaris / Linux VM'si çalıştırıyoruz.

Şifrelenmemiş verilerin bir kısmını potansiyel olarak depolayabilen ESXi takas dosyaları haricinde her şey yolunda, pastanın üstündeki kiraz, bu dosyaların bir ana bilgisayar çökmesi durumunda kaldırılmayacağıdır.

Bu dosyaları tamamen devre dışı bırakmanın bir yolu var mı?

Tahsis edilen RAM'in tamamını VM başına VM başına ayırmayı denedik, ancak dosyalar hala oluşturuluyor.

ESXi swapping'in tüm ana bilgisayar veya yalnızca bazı sanal makineler için tamamen devre dışı bırakılması ne kadar sürer?

security  vmware-esxi  encryption  swap 
Marius Burz
kaynak
Yalnızca ESXi sunucunuzun çöktüğü bir durumla mı ilgileniyorsunuz?
ewwhite
1
Neden? Kim sunucuya erişebilir?
ewwhite
2
Kaba olmak istemiyorum ama dikkati ilk soruya döndürmeyi tercih ederim.
Marius Burz
1
Ancak @whwhite en önde gelen VMware uzmanlarımızdan biridir. Kesinlikle çok iyi bir neden istiyor. Sonuçta, durumunuzun bütünlüğünü anlamak size iyi bir cevap vermek için kritik öneme sahiptir .
Michael Hampton
5
Tüm durumu tetikleyen bir güvenlik denetimiydi, FS'ye boşaltılan / serileştirilmiş şifresi çözülmüş veriler içeren belleğe sahip olmadığımız için çok daha rahat hissedecektik.
Marius Burz

Yanıtlar:

13

Bu ilginç bir soru. Hiper yönetici düzeyinde veri güvenliğini hiç düşünmedim ... genellikle güvenlik politikaları ve sertleştirme, işletim sistemine özgü görevler etrafında döner (cinleri, bağlantı noktalarını sınırlamak, çekirdek dosyaları devre dışı bırakmak, dosya sistemi bağlama seçenekleri vb.)

Ancak bazı hızlı araştırmalardan sonra (ve stringsaktif VMWare .vswp dosyalarına karşı çalışarak), bir VMWare veri deposunda bulunan .vswp dosyalarından veri ayıklamanın kesinlikle mümkün olduğunu gösterir. Bu bağlantı , bu tür dosyaların yaşam döngüsünü açıklamaya yardımcı olur.

Sizin durumunuzda, yaklaşımınızın güvenlik politikası ve gereksinimleri belirleneceğini düşünüyorum. Finans ve denetimlerle ilgili deneyimlerime göre, kabul edilen bir yaklaşımın ana sunucuya erişimi sınırlamak / güvenli hale getirmek olacağını düşünüyorum. Varsayılan olarak, ESXi ana bilgisayarınızda SSH veya konsol erişiminin etkin olmadığını unutmayın. Bu özelliklerin etkinleştirilmesi, vCenter'da manuel olarak geçersiz kılınması gereken bir olay / uyarı atar , bu nedenle varsayım, erişimin denetlenmesi, bu bilgilere erişimi kontrol etmenin en iyi yoludur.

Sunucuya kimlerin erişebileceği konusunda endişeler varsa, idari bir soruna teknik bir çözüm olmayabilir. Yine de, .vswp dosyalarının kullanımını sınırlamanın bir yolu olup olmadığını görmek için başka kaynakları kontrol edeceğim.

--Düzenle--

Tüm konuk RAM'lerini rezerve edebilirsiniz. Hangi VMWare sürümünü kullandığınızı belirtmezsiniz, ancak 5.1 kurulumumda tüm konuk belleğini ayırma seçeneği vardır . Bu seçeneğin etkinleştirilmesi , sanal makineye ayrılan RAM boyutuna eşit olmak yerine sıfır uzunlukta bir .vswp dosyası oluşturur . Vmx - *. Vswp dosyasına dikkat etmeyin. Yani ESXi 5.x için yeni ve var olmayan ilişkin konukların işletim sistemi bellek baskısı (o VMX süreç yığın, misafir çevre birimleri ve yönetim aracıları için var). Buna ek olarak, VMX -. * Vswp dosyaları ayarlayarak devre dışı bırakılabilir sched.swap.vmxSwapEnablediçin FALSE.

Sanırım bu istediğini verecek.

resim açıklamasını buraya girin

Bellek rezervasyonu yok (varsayılan):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

Bellek ayırma kilitliyken:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
ewwhite
kaynak
1
Teorik bir senaryoda bir dizi olay (her zaman olduğu gibi), diyelim ki bir ana bilgisayar çöküyor, HDD'ler değiştiriliyor, bu HDD'ler bu tür takas dosyalarında (çoğu zaman bilinmeyen) şifresi çözülmüş veriler içerebilir, çünkü çoğu veriyi düşünür üzerlerinde bu kadar hassas değildir (hassas veriler şifrelenmiş diğer HDD'lerde bulunur).
Marius Burz
@MariusBurz Yukarıdaki düzenlemelere bakın.
ewwhite
Vmx - *. Vswp dosyalarından kurtulamadık, ama şimdi düşündüklerimiz olmadığını söylüyorsunuz, her şeye bir kez daha bakmamız gerekiyor. 5.1 test makinemde standart vswp dosyasının 0kb ile oluşturulduğunu onaylayabilirim.
Marius Burz
1
@MariusBurz vmx vswp dosyaları sched.swap.vmxSwapEnabledparametre tarafından kontrol edilir . Ayrıca devre dışı bırakılabilir.
ewwhite
@Beyaz bana yardım ettiğiniz için çok teşekkür ederim. Keşke hala hangi dosyaların yaratıldığı konusunda daha iyi açıklayabilseydim, sorunumuzun nerede yattığını tanımanız çok daha kolay olurdu. Dosyanın standart olmayan bir takas dosyası olduğunu düşündük.
Marius Burz
4

Sorunu yanlış çözmeye çalıştığınız anlaşılıyor. Makine değiştirmeyi durdurmaya çalışmak hassas verilerin diske girmeyeceğinin garantisi değildir. Çekirdek dökümler vb. Hassas veriler içeren bir sistemde yazılabilir bir cihaza sahip olduğunuzda, 'temiz' olarak düşünülmemeli ve kullanımı sona erdiğinde imha edilmelidir.

Verileriniz o kadar hassassa, sistemi fiziksel olarak güvence altına almalısınız. Sisteme erişmesi gereken herkesin uygun şekilde denetlenmesi ve özel olarak yetkilendirilmesi gerekir. Faaliyetlerinin yetkilendirilmesi, kaydedilmesi ve denetlenmesi gerekir.

Açıkladığınız senaryo kolayca yönetilir. Verilerin hassasiyeti ile orantılı hassas veriler içeren cihazları imha etmek için prosedürleriniz olmalıdır. Sorununuzu ortadan kaldırmak için uygun bir makam tarafından imzalanmadığı sürece cihazın güvenli ortamınızdan çıkmasına izin vermezsiniz.

user9517 GoFundMonica'yı destekler
kaynak
İlginç bir teknik soru olsa da, buna tamamen katılıyorum.
Dan
2

ESXi'nin oluşturduğu sanal makine değiş tokuş dosyalarını şifrelemek yeterli olmalıdır. Takas dosyalarını, şifreleme SAN veya kendi kendini şifreleme diski gibi şifreli bir veri deposuna koymayı deneyin .

Michael Hampton
kaynak
Bu gerçekten bu sorunu çözmenin bir yoludur, ancak yine de sadece bir çözümdür. En güvenli bazı yerel SEDs, ESXi onları destekleyip desteklemediğini / nasıl destekleyeceğini herhangi bir fikir olacağını varsayalım.
Marius Burz
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.