VMware vSphere 6.5 のセキュリティについて解説します。
VMware などの仮想基盤では、ホスト単位、仮想マシン単位、共有リソース単位など様々なレベルからセキュリティ対策を考える必要があります。
考えられるセキュリティ対策
- セキュリティパッチ
- サーバー証明書によるなりすましの防止
- 認証機能
- ESXi のファイアウォール機能
- アクセス制限
- ESXi のロックダウンモード
- メモリページの共有
- ポートグループのセキュリティ
- 仮想マシンの独立性
- リムーバブルメディアの接続の制限
※更に VMware NSX を導入することでネットワークマイクロセグメンテーションにより仮想マシン単位のセキュリティ対策をすることができます。
ハイパーバイザーの定期的なパッチ適用
結論:ハイパーバイザーの定期的なパッチ適用は重要事項
ホストがクラッシュすると、必然的にそのホスト上の仮想マシンもクラッシュします。
そのため汎用的な OS(Windows、Linuxなど)をホストにして、その上にハイパーバイザーソフトをインストールして使用する方法だと障害の可能性も高まります。
その理由は、例えば Windows OS 上にハイパーバイザーソフトをインストールした場合、仮想化環境以外にもいろんなサービスが動いているため頻繁にパッチを適用して OS 再起動を求められたり、頻繁にパッチを適用しないことで脆弱性を突かれる可能性もあります。
そのため、ハイパーバイザーにするコンピュータはハイパーバイザーに特化したシステムにすることでシステムの運用が安定化されます。
ハイパーバイザーはすべての仮想マシンやリソースの権限を握る仮想化環境の基盤部分です。
もしハイパーバイザーにバグがあったり、脆弱性を突かれると、その上で動くすべての仮想マシンに重大な影響や被害が出る可能性があります。
いかにハイパーバイザーを不正行為から守るかが運用において一番重要になります。
具体的には
VMware のセキュリティ情報配信サイト
メーカー(HPE、HITACHI など)のセキュリティ情報配信サイト
JPCERT/CC(JPCERTコーディネーションセンター)
JVN iPedia 脆弱性対策情報データベース
などを確認します。
共有リソースについて
仮想化環境では 1つの物理サーバーをリソース(CPU、メモリ、ディスク、ネットワークなど)を複数の仮想マシン間で共有することでリソースを節約したりパフォーマンスを上げています。
従来型の物理サーバーなら物理的に筐体が分かれていて、お互いアクセスできないので問題になりませんでした。
しかし仮想化環境の場合は、リソースを共有することで仮想マシン間でお互い影響を与える可能性があります。
例えば、不正に乗っ取られた仮想マシンが、隣の仮想マシンへ不正行為を行なう可能性もあります。
iptables や firewalld でネットワーク的に遮断していても、共有しているメモリや共有しているネットワーク経由で不正アクセスがあるかもしれません。
上記のように仮想化をすることにより、物理環境よりセキュリティ上の検討ポイントが増えます。
透過的ページ共有(TPS,Transparent Page Sharing)
1台のホスト vSphere ESXi 上で複数の仮想マシンが実行されている状態では、複数の仮想マシンが同じディストリビューションや同じバージョンのOSを利用していることがよくあります。
(例えばIT部門としてRedHatの特定のバージョンで統一して管理している等)
その場合、同じ内容のメモリページがあると VMkernel は「透過的ページ共有」を利用して同一内容のメモリページを複数仮想マシンで共有しホストの物理メモリを節約することができます。
しかし、vSphere ESXi 6.0 以降では、セキュリティの観点より、デフォルトでは「同一仮想マシン上の重複メモリページのみ共有」されるようになっています。
最低限、複数の物理 NIC を設置し物理的にネットワークを分割する
例えば、1つの物理ネットワークしかない場合は、複数の仮想マシンが同じネットワークを利用することになります。
つまり 1つの物理 NIC には様々な情報が流れることになります。
そのため最低限以下の処置をして出来る限り「ネットワークの独立性」を担保します。
- 複数の物理 NIC を設置する
- サービス用ネットワーク、管理用ネットワーク、vMotionネットワークなど分ける
仮に物理 NIC が足りなくても、VLAN でネットワークを分けるなどの対策を取ります。
ポートグループのセキュリティ
ポートグループのセキュリティとして以下の3点が挙げられます。
- 無差別モード
- MACアドレス変更
- 偽造転送
特に要件がなければ上記3点の設定は「無効」に設定します。
ただしパケットキャプチャが必要な場合は「無差別モード」を有効にする必要があります。
無差別モード
- 無差別モード ← デフォルト拒否
アダプタの接続先ポートグループの VLAN ポリシーが許可する vSwitch を通過したすべてのフレームが、ゲストアダプタによって検出されます。
ネットワークキャプチャツールなどを使って、同一 VLAN 上の仮想マシンのトラフィックをキャプチャする際には「承諾」にする必要があります。
MACアドレス変更
- 無差別モード ← デフォルト承諾
設定を「拒否」にすると、仮想マシン構成ファイル(.vmx)に設定された MAC アドレス以外のアドレスをゲスト OS に変更すると、すべての受診フレームが破棄されます。
「承諾」に設定すると、仮想マシン構成ファイル(.vmx)に設定された MAC アドレス以外のアドレスをゲスト OS に変更すると、新しい MAC アドレス宛のフレームが受信できるようになります。
偽造転送
- 無差別モード ← デフォルト承諾
偽装転送を拒否した場合、仮想ネットワークアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームをドロップすることができます。
リムーバブルメディアの接続の制限
仮想環境では、USBコネクタやDVDドライブも共有しているので、物理サーバーに挿入した USB メモリや DVD-ROM は仮想マシン上で読み取ることができます。
これらのリムーバブルメディアの管理機能は、各仮想マシンのセットアップや VMware Tools のインストールには役に立ちますが、悪用されるリスクもあります。
例えば、USB メモリに各仮想マシンの機密情報を書き込むことができます。
そのため、情報流出防止やウィルス感染防止のために一般ユーザーがリムーバブルメディアにアクセスできないように仮想マシンの機能制限をします。
VMware ESXi ハイパーバイザーはコードが少ないのでセキュリティレベルは高い
VMware ESXi ハイパーバイザーは、コードが非常に少ないため、セキュリティホールとなるコード状のバグが発生しにくく、その為セキュリティのレベルが高いです。
コメント