C'est une question intéressante. Je n'ai jamais pensé à la sécurité des données au niveau de l'hyperviseur ... généralement, les politiques de sécurité et le renforcement tournent autour des tâches spécifiques au système d'exploitation (limitation des démons, des ports, désactivation des fichiers de base, options de montage du système de fichiers, etc.)
Mais après quelques recherches rapides (et en cours d'exécution strings
sur des fichiers .vswp VMWare actifs), il est définitivement possible d'extraire des données de fichiers .vswp résidant dans une banque de données VMWare. Ce lien permet d'expliquer le cycle de vie de ces fichiers.
Dans votre cas, je pense que votre approche sera déterminée par la politique et les exigences de sécurité. D'après mon expérience en finance et en audit, je pense qu'une approche acceptée serait de limiter / sécuriser l'accès au serveur hôte. Rappelez-vous que par défaut, votre hôte ESXi n'a pas d'accès SSH ou console activé. L'activation de ces fonctionnalités génère un événement / une alerte dans vCenter qui doit être remplacé manuellement , donc l'hypothèse est que l'audit de l'accès est le meilleur moyen de contrôler l'accès à ces informations.
Si vous ne savez pas qui peut accéder au serveur, il n'y a peut-être pas de solution technique à un problème administratif. Je vais vérifier d'autres sources pour voir s'il existe un moyen de limiter l'utilisation des fichiers .vswp.
--Éditer--
Vous pouvez réserver toute la RAM invitée. Vous ne spécifiez pas la version de VMWare que vous utilisez, mais dans mon installation 5.1, il y a une option pour réserver toute la mémoire invité . L'activation de cette option crée un fichier .vswp de longueur nulle, plutôt qu'un fichier égal à la taille de la RAM allouée à la machine virtuelle. Ne faites pas attention au fichier vmx - *. Vswp. C'est nouveau pour ESXi 5.x , et ce n'est pas lié à la pression de la mémoire du système d'exploitation de l' invité (c'est pour le tas de processus VMX, les périphériques invités et les agents de gestion). De plus, les fichiers vmx - *. Vswp peuvent être désactivés en définissant sched.swap.vmxSwapEnabled
sur FALSE
.
Je pense que cela vous donnera ce que vous demandez.
Aucune réservation de mémoire (par défaut):
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 3221225472 Dec 23 13:31 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:31 vmx-Test_Bed-2907257217-1.vswp
Avec réservation de mémoire verrouillée:
root@deore:/volumes/vol2/staging/Test_Bed# ls -al | grep vswp
-rw------- 1 nfs nobody 0 Dec 23 13:38 Test_Bed-ad493981.vswp
-rw------- 1 nfs nobody 115343360 Dec 23 13:38 vmx-Test_Bed-2907257217-1.vswp