2013年02月12日 08時00分 UPDATE
特集/連載

仮想ファイアウォールやリソース管理が重要に仮想化の脅威、「ハイパーバイザー攻撃」を防ぐ3つの対策

仮想環境のセキュリティ対策は、物理環境と共通する部分が多い。ただし、仮想環境特有の要素であるハイパーバイザーは別だ。その主要なセキュリティ対策を紹介しよう。

[Brien Posey,TechTarget]

 ハイパーバイザーのセキュリティ対策は、あらゆるデータセンターにおいて優先すべき課題だ。1台のホストサーバで何十もの仮想化されたワークロードを処理することもある。ホストサーバ1台でもセキュリティが破られれば、大規模な障害につながりかねない。残念ながら、単独でデータセンターのセキュリティ対策を保証できる包括的な手段は存在しない。優れたセキュリティ対策のためには、多面的なアプローチが必要だ。仮想サーバ環境をセキュアに保つためにやるべきことは多数ある。

対策1:攻撃対象を減らす

 仮想データセンターのセキュリティ対策における最初の1歩は、ホストサーバの攻撃対象を狭めることだ。特に米MicrosoftHyper-Vは、Windows Serverにロールとしてインストールされることも多く、攻撃対象を減らすことが重要になる。

 もし仮想化ソフトウェアを実行するホストサーバ(仮想ホスト)でホストOSを利用する場合、ホストOSには、不必要なロールや機能やアプリケーションがあってはならない。ホストOSは、Hyper-Vやウイルス対策ソフトウェア、バックアップエージェントといった重要なインフラ要素の稼働専用にする必要がある。

 ハイパーバイザーのセキュリティ対策強化のためにできるもう1つの対策は、OSを実稼働ドメインに加えないことだ。その代わり、専用のActive Directoryのフォレスト(管理単位)に、仮想ホストの管理のみを目的とした専用の管理ドメインを作成する。この種のドメインを利用すれば、仮に仮想ホストのセキュリティ対策が破られた場合でも、実稼働ドメインを危険に晒す心配はなくなる。他にも、仮想ホスト管理ドメイン用に物理ドメインコントローラーを使う方法もある。

 可能であれば、ホストOSの利用は避けるに越したことはない。やむを得ずホストOSを使う場合、米Microsoftは、攻撃対象領域が小さいという理由で、Windows Serverの中核機能のみで構成された「Server Core」の利用を勧めている。さらに、管理トラフィックを仮想マシン(VM)のトラフィックから切り離すには、ホストOSに専用の物理ネットワークアダプターを使うことが望ましいという。

対策2:仮想ファイアウォールの検討

 仮想ファイアウォールとソフトウェアファイアウォールの使用も、ハイパーバイザーセキュリティ対策の強化に役立つ。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news051.jpg

「SATORI」が機能アップデート、シナリオ機能を強化
SATORIはマーケティングオートメーションツール「SATORI」の機能アップデートを発表した。

news012.jpg

AIで社会課題を抽出して国会議員に届けてみた結果――東大・電通PR・ホットリンク調べ
国会議員の政策策定にもAIを活用する日がくるかもしれません。

news028.jpg

電通が分類する30の「メディアライフスタイル」はなぜ生まれたのか、ここから何が見えてくるのか
電通メディアイノベーションラボが類型化する30の「メディアライフスタイル」。これによ...