サーバーのセキュリティ対策の中心は不正アクセスの防止。この点は仮想化環境でも変わらない。重要なのは,1台のハードウエアに搭載された仮想マシンを意識して対策を講じること。ポイントは,仮想スイッチの設定など,ハイパーバイザのネットワーク機能である。
宮下 徹/奈良 昌紀
ネットワンシステムズ応用技術本部 第5応用技術部
DCエンジニアリングチーム
仮想化環境では単一のサーバー・ハードウエアで多数の仮想マシンが動作する。このためシステムに対する第三者の不正アクセスを許すと,物理的に別々のサーバー・マシンで運用していたときよりも危険が膨らむ可能性がある。仮想化環境に合わせたセキュリティ対策が不可欠だ。
具体的には,従来のようなサーバー・ハードウエア,アプリケーションと同時に,仮想マシンに対する不正アクセスへの対策を考える必要がある。仮想マシンへの不正アクセス対策としては,仮想ネットワークにおける対策と,仮想マシン自体での対策という二つの方法が考えられる。今回はVMware vSphere 4の場合を例に,セキュリティ面の注意点について解説する。
仮想スイッチの機能を活用
仮想ネットワークにおける対策には,ハイパーバイザの仮想スイッチ機能を利用するのが一番手っ取り早い。物理環境のレイヤー2ネットワークと同様に,バーチャルLAN(VLAN)などの機能を利用して仮想マシン間の通信を制御したり,盗聴を防いだりできる。仮想マシンが被害を受けた場合に,その影響を最小限に抑えるための対策も必要だ。米ヴイエムウェアのvSphereに実装されている仮想スイッチには,仮想マシン同士の通信を制御するための機能がいくつか実装されている。
セキュリティ対策としては,レイヤー3以上の対策も考慮すべきである。これについては物理環境と同様に,仮想マシンのOSの要塞化や,ファイアウォールの利用といった手段が考えられる。ただvSphere 4環境では,ハイパーバイザ上でファイアウォール機能を提供し,vSphere ClientからGUIを利用して仮想化環境と統合的に管理できる。この機能をうまく活用するとよい。
一方,仮想マシン自体での対策は,物理環境と同じように仮想マシンにウイルス対策などのソフトウエアを導入する方法が考えられる。vSphere 4環境ではESXホスト上で動作する仮想マシンに対して,透過的にウイルス対策などのセキュリティ機能を付与できるようになっている。
無差別受信モードは危険の元
まず,仮想スイッチの機能を使って仮想マシンを保護する方法について見ていこう。vSphere環境の仮想ネットワークでは,ネットワーク・セキュリティ機能としてポート・セキュリティとプライベートVLAN機能を利用できる。
このうちポート・セキュリティは,登録された機器(MACアドレス)以外が送信元となるフレームを破棄する機能。通常の仮想スイッチ(vSS:vNetwork Standard Switch),分散仮想スイッチ(vDS:vNetwork Distributed Switch)のポート・グループ属性として設定できる。
注意したいのは,無差別モード(プロミスキャス・モード),MACアドレス変更,偽装転送の3項目の設定である(表1)。無差別モードは,スイッチを経由するパケットの監視などを目的として設けられたもので,デフォルトで拒否(無効)になっている。
この無差別モードを許可すると,無差別モードに設定されたポートにつながったパソコンは,あて先MACアドレスが自分あてではないフレームでも無差別に受信する。つまり,そのポート・グループにパケット・アナライザなどを接続され,データをのぞき見られる危険性がある。このため原則として,無差別モードは拒否設定のままにすることをお勧めする。
IDS(侵入検知システム)などの監視装置を使って特定の仮想スイッチ上を流れるパケット(例えば仮想マシン間の通信)を監視したい場合は,その装置が属しているポート・グループで無差別モードを許可する必要がある。この場合,監視対象の機器が属しているポート・グループに監視装置を直接つなぐのではなく,監視対象機器のポート・グループと同じVLAN IDを持たせた監視装置専用のポート・グループを作り(もちろんポート数も必要最小限にすること),このポート・グループだけ無差別モードを有効にするとよい。
