VMware vSphere 8 は、その前身である vSphere 7.0 よりも防御を強化し、さらなる革新のマイルストーンとして登場しました。ここでは、vSphere 8 で強化された強固なセキュリティ機能を解明し、仮想環境の堅牢化の足がかりを初心者に紹介します。
vSphere 8 の複雑さを紹介しながら、仮想化セキュリティの新たな標準となる重要なアップグレードを探ります。TLS 1.2 プロトコルの実装から最新のアイデンティティ管理ソリューションの統合まで、vSphere 8 は、仮想インフラストラクチャのセキュリティを確保する上で、単なるステップではなく飛躍的な進歩を遂げました。
目次
VMware vSphere 8 のセキュリティ機能における最新の強化点:
セキュリティの構成と強化ガイド– vSphere 8 のガイドでは、強化および監査に関する最新のガイダンスを提供します。
TLS 1.2 のみを– vSphere 8 は TLS 1.2 のみをサポートし、TLS 1.0 および TLS 1.12 のサポートは廃止されました。
アイデンティティ管理– vSphere 8 Update 1 では、Okta をはじめとする最新のクラウドベースのアイデンティティ プロバイダのサポートと、統合されたアイデンティティが導入されました。
中断のない証明書管理– vSphere 8 では、管理者はサービスを再起動することなく、vCenter SSL/TLS 証明書を更新および交換できます。
vSphere 7.0 で含まれていた機能:
仮想トラステッド・プラットフォーム・モジュール(vTPM)– 仮想マシンのセキュリティを確保します。
Virtualization Based Security (VBS)– ハイパーバイザーレベルの脅威から保護します。
証明書管理の改善– vSphere Trust Authority(vTA)の導入を含まれます。
初心者のためのヒントとコツ
基本から– vSphere 8 用に更新された「セキュリティ構成と堅牢化ガイド」をよくお読みください。これは、セキュリティ環境を理解するためのロードマップです。
アイデンティティ管理の導入– Okta のようなクラウドベースのアイデンティティ プロバイダを統合して、アクセス制御を効率化する方法をご紹介します。
証明書管理を簡単に– SSL/TLS 証明書のシームレスな更新を可能にする、中断のない証明書管理機能をご紹介します。
vSphere の堅牢化で避けるべき一般的な落とし穴は?
vSphere 環境を堅牢化する場合、セキュリティを損なう可能性のある一般的な落とし穴を回避することが極めて重要です。以下は、考慮すべき重要なポイントです:
不十分なパッチ管理– セキュリティ・パッチやアップデートの迅速な適用を怠ると、システムが既知のエクスプロイトに対して脆弱な状態になる可能性があります。短期間にインフラ全体をアップデートすることを忘れないでください。時間がないからといって、ホストの半分にパッチを適用しないままにしておく必要はありません。
デフォルトの認証情報– vSphereコンポーネントにデフォルトのユーザー名とパスワードを使用すると、攻撃者に簡単に悪用される可能性があります。
不十分なアクセス制御– 適切な役割ベースのアクセス制御を実装していない場合、機密データへの不正アクセスにつながる可能性があります。
監査ログの見落とし – 監査ログの有効化と監視を怠ると、不正行為の発見を妨げる可能性があります。
コンプライアンス基準の無視 – NISTやDISA STIGのような業界固有のコンプライアンス基準を無視すると、コンプライアンス違反や潜在的な法的問題につながる可能性があります。
単純化よりも複雑化- 不要なサービスやオープンポートでネットワークを複雑にしすぎると、攻撃対象が増加します。
強固なセキュリティ体制を確保するためには、『VMware vSphere Security Configuration & Hardening Guide』に記載されているようなベストプラクティスに従うことが不可欠です。
また、新たな脅威や環境の変化に対応するためには、堅牢化戦略を定期的に見直し、更新することが不可欠です。セキュリティは継続的なプロセスであり、一度限りの設定ではないことを忘れてはいけません。仮想インフラストラクチャを保護するために、常に用心深く、積極的な行動が必要です。
ドキュメントから学ぶコツは
VMwareのドキュメントには、環境を保護するために必要なことがすべて書かれています。ハイパーバイザ、vCenterサーバ、関連サービスから始まり、仮想マシン(VM)、ネットワーク・レイヤー、パスワード・ポリシー、アクセス許可に至るまで、必要な情報が網羅されています。
ESXi については、すべてのホスト管理を vCenter Server 経由で行い、ESXi シェルを無効化し、ESXi を通常のロックダウンモードにし、ESXi の root パスワードを複雑なパスワードに設定することを推奨します。
vCenter でアクセス制御を構成する際の最後のガイドラインです。オブジェクトに権限を割り当てる際に、プロパゲーションを有効にすることを検討してください。プロパゲーションは、オブジェクト階層内の新しいオブジェクトがパーミッションを継承することを保証します。たとえば、仮想マシン フォルダにアクセス許可を割り当て、プロパゲーションを有効にすると、フォルダ内のすべての仮想マシンにアクセス許可が適用されます。
アクセス禁止ロールを使用して、階層の特定の領域をマスクすることもできます。アクセス禁止ロールは、そのロールを持つユーザーまたはグループのアクセスを制限します。
暗号化による vMotion のセキュリティ– vMotion と Storage vMotion は、それぞれ仮想マシンのメモリとストレージのデータをネットワーク越しにコピーします。転送中のデータが暗号化されることで、機密性が確保されます。適切な境界制御により、専用のネットワーク・セグメントに隔離することで、徹底的な防御が可能になり、ネットワーク・トラフィックの管理も可能になります。
他のすべての暗号化と同様に、vMotion の暗号化もパフォーマンスの低下をもたらしますが、パフォーマンスの変化はバックグラウンドの vMotion プロセス上であり、仮想マシンの動作には影響しません。
ハードウェア・セキュリティ– 多くのサーバにはハードウェア管理コントローラが統合されており、ハードウェア、設定、ファームウェアの監視やアップデートに非常に役立ちます。これらのコントローラは、未使用の機能がすべて無効化されていること、未使用のアクセス方法がすべて無効化されていること、パスワードとパスワード制御が設定されていること、ファイアウォールとアクセス制御が適切に行われていることを確認し、仮想化管理チームが許可されたアクセスワークステーションからのみアクセスできるようにする必要があります。
最後に
セキュリティはIT管理者にとって最優先事項です。バックアップ、パッチ、ゲストOSのパッチは、データセンター内や中小企業内でセキュリティを維持しながら管理者が実行すべき第一のタスクです。ディザスタリカバリプラン(災害対策計画)がうまくいかなかったり、バックアップがオンサイトの同じ場所にしか保存されていなかったり、バックアップの粒度が十分でなかったりして、管理者が失敗することはよくあることです。
VMware vSphere環境のセキュリティとコンフィギュレーション・ガイドは、vSphere環境を維持する際に使用する最も重要なリソースです。
ランサムウェアの攻撃は日常茶飯事であり、誰も十分な備えをすることはできないが、管理者は最後の防衛ライン(バックアップ)を複数のサイトやクラウド・プロバイダーに分散させることで、ランサムウェアに対抗できることは間違いありません。もちろん、イミュータビリティは有効にしておくことです。攻撃者がアクセス・キーを見つけたら、ストレージからバックアップ・ファイルを消去してしまうのを防ぐのがイミュータビリティ(不変性)です。