ESXiでスワップファイルを無効にする方法

18

非常に機密性の高い暗号化データを含むESXi上でいくつかのSolaris / Linux VMを実行しており、最終的にメモリ内で必要に応じて復号化されます。

暗号化解除されたデータの一部を保存できる可能性のあるESXiスワップファイルを除き、すべてが問題ありません。重要なのは、ホストがクラッシュしてもこれらのファイルが削除されないことです。

これらのファイルを完全に無効にする方法はありますか?

割り当てられたRAM全体をVMごとにVMに予約しようとしましたが、ファイルはまだ作成されます。

ホスト全体または一部のVMのみでESXiスワッピングを完全に無効にするには何が必要ですか?

security  vmware-esxi  encryption  swap 
マリウス・ブルツ
ソース
ESXiホストがクラッシュする状態のみが心配ですか?
ewwhite
1
どうして?誰がサーバーにアクセスできますか?
ewwhite
2
失礼なつもりはありませんが、最初の質問に注意を向けたいと思います。
マリウスブルズ
1
しかし、@ ewwhiteはVMwareの第一人者です。彼は確かに非常に正当な理由を求めています。結局のところ、あなたの状況全体を理解することはあなたに良い答えを与えるために重要です。
マイケルハンプトン
5
全体の状況を引き起こしたのはセキュリティ監査でした。FSにダンプ/シリアル化された復号化されたデータを含むメモリがなくても非常に快適だと感じました。
マリウスブルズ

回答:

13

これは興味深い質問です。ハイパーバイザーレベルでのデータセキュリティについて考えたことはありません。通常、セキュリティポリシーとセキュリティは、OS固有のタスク(デーモン、ポートの制限、コアファイルの無効化、ファイルシステムマウントオプションなど)を中心に展開します。

しかし、いくつかの簡単な調査(およびstringsアクティブなVMWare .vswpファイルに対する実行)の後、VMWareデータストアにある.vswpファイルからデータを抽出することは間違いなく可能であることが示されています。このリンクは、そのようなファイルのライフサイクルを説明するのに役立ちます。

あなたの場合、あなたのアプローチはセキュリティポリシーと要件を決定することになると思います。私の財務と監査の経験では、受け入れられているアプローチはホストサーバーへのアクセスを制限/保護することだと思います。デフォルトでは、ESXiホストでSSHまたはコンソールアクセスが有効になっていないことを思い出してください。これらの機能を有効にすると、vCenterで手動でオーバーライドする必要があるイベント/アラートがスローされるため、この情報へのアクセスを制御するには、アクセスの監査が最善の方法であると想定されます。

誰がサーバーにアクセスできるかについて懸念がある場合は、管理上の問題に対する技術的な解決策がない可能性があります。ただし、.vswpファイルの使用を制限する方法があるかどうか、他のソースを確認します。

-編集-

すべてのゲストRAMを予約できます。使用しているVMWareのバージョンは指定しませんが、5.1インストールでは、すべてのゲストメモリ予約するオプションがあります。このオプションを有効にすると、仮想マシンに割り当てられたRAMのサイズに等しいサイズではなく、長さゼロの .vswpファイルが作成れます。vmx-*。vswpファイルには注意を払ってください。これはESXi 5.xの新機能であり、ゲストのオペレーティングシステムのメモリ負荷と関係ありません(VMXプロセスヒープ、ゲスト周辺機器、および管理エージェントの場合)。さらに、に設定すると、vmx-*。vswpファイルを無効にできます。sched.swap.vmxSwapEnabledFALSE

これはあなたが求めているものをあなたに与えると思います。

ここに画像の説明を入力してください

メモリ予約なし(デフォルト):

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody  3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp

メモリ予約がロックインされている場合:

root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs  nobody           0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs  nobody   115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp
ewwhite
ソース
1
理論的なシナリオには、ホストのクラッシュ、HDDの交換、これらのHDDにそのようなスワップファイル(多くの人には知られていない)に復号化されたデータが含まれるなど、一連のイベント(常に)が含まれます。それらはそれほど機密ではありません(機密データは暗号化された他のHDDにあります)。
マリウスブルズ
@MariusBurz上記の編集を参照してください。
ewwhite
vmx-*。vswpファイルを削除することはできませんでしたが、ファイルが意図したものではないと言うので、全体をもう一度確認する必要があります。5.1テストマシン@ homeで、標準のvswpファイルが0kbで作成されていることを確認できます。
マリウスブルズ
1
@MariusBurz vmx vswpファイルは、sched.swap.vmxSwapEnabledパラメーターによって制御されます。無効にすることもできます。
ewwhite
@ewwhiteを手伝ってくれてありがとう。まだどのファイルが作成されたのかを説明した方が良かったのですが、問題がどこにあるのかを簡単に認識できたと思います。このファイルは標準のスワップファイルであり、そうではないと考えました。
マリウスブルツ
4

問題を間違って解決しようとしているようです。マシンのスワッピングを停止しようとしても、機密データがディスクに保存されないという保証はありません。コアダンプなどはどうですか?機密データを含むシステム内にある書き込み可能なデバイスを作成したら、「クリーン」とは見なされず、使用が終了したときに破棄する必要があります。

データの機密性が高い場合は、システムを物理的に保護する必要があります。システムにアクセスする必要があるすべての人は、適切に吟味され、そうするために特別に承認される必要があります。彼らの活動は承認、記録、監督などが必要です。

あなたが記述のシナリオを簡単に管理されています。データの機密性に見合った機密データを含むデバイスを破壊する手順が必要です。デバイスが問題でなくなった時点で適切な機関によって署名されていない限り、デバイスを安全な環境から単純に解放しないでください。

user9517はGoFundMonicaをサポートしています
ソース
興味深い技術的な質問ですが、これには完全に同意します。
ダン
2

ESXiが作成する仮想マシンのスワップファイルを暗号化すれば十分です。暗号化されたSANや自己暗号化ディスクなど、暗号化されたデータストアにスワップファイルを配置してみてください。

マイケル・ハンプトン
ソース
これは確かにこの問題を解決する1つの方法ですが、それでも回避策にすぎません。最も安全なのは、いくつかのローカルSEDを使用することだと思いますが、ESXiがそれらをサポートするかどうか/どのように考えますか?
マリウスブルズ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.