仮想化の脅威、「ハイパーバイザー攻撃」を防ぐ3つの対策仮想ファイアウォールやリソース管理が重要に

仮想環境のセキュリティ対策は、物理環境と共通する部分が多い。ただし、仮想環境特有の要素であるハイパーバイザーは別だ。その主要なセキュリティ対策を紹介しよう。

2013年02月12日 08時00分 公開
[Brien Posey,TechTarget]

 ハイパーバイザーのセキュリティ対策は、あらゆるデータセンターにおいて優先すべき課題だ。1台のホストサーバで何十もの仮想化されたワークロードを処理することもある。ホストサーバ1台でもセキュリティが破られれば、大規模な障害につながりかねない。残念ながら、単独でデータセンターのセキュリティ対策を保証できる包括的な手段は存在しない。優れたセキュリティ対策のためには、多面的なアプローチが必要だ。仮想サーバ環境をセキュアに保つためにやるべきことは多数ある。

対策1:攻撃対象を減らす

 仮想データセンターのセキュリティ対策における最初の1歩は、ホストサーバの攻撃対象を狭めることだ。特に米MicrosoftHyper-Vは、Windows Serverにロールとしてインストールされることも多く、攻撃対象を減らすことが重要になる。

 もし仮想化ソフトウェアを実行するホストサーバ(仮想ホスト)でホストOSを利用する場合、ホストOSには、不必要なロールや機能やアプリケーションがあってはならない。ホストOSは、Hyper-Vやウイルス対策ソフトウェア、バックアップエージェントといった重要なインフラ要素の稼働専用にする必要がある。

 ハイパーバイザーのセキュリティ対策強化のためにできるもう1つの対策は、OSを実稼働ドメインに加えないことだ。その代わり、専用のActive Directoryのフォレスト(管理単位)に、仮想ホストの管理のみを目的とした専用の管理ドメインを作成する。この種のドメインを利用すれば、仮に仮想ホストのセキュリティ対策が破られた場合でも、実稼働ドメインを危険に晒す心配はなくなる。他にも、仮想ホスト管理ドメイン用に物理ドメインコントローラーを使う方法もある。

 可能であれば、ホストOSの利用は避けるに越したことはない。やむを得ずホストOSを使う場合、米Microsoftは、攻撃対象領域が小さいという理由で、Windows Serverの中核機能のみで構成された「Server Core」の利用を勧めている。さらに、管理トラフィックを仮想マシン(VM)のトラフィックから切り離すには、ホストOSに専用の物理ネットワークアダプターを使うことが望ましいという。

対策2:仮想ファイアウォールの検討

 仮想ファイアウォールとソフトウェアファイアウォールの使用も、ハイパーバイザーセキュリティ対策の強化に役立つ。

ITmedia マーケティング新着記事

news083.jpg

マーケターは「脱TikTok」を決断すべき? 鍵を握るのはトランプ氏
米国におけるTikTok売却または禁止が議会で可決されたことを受け、このプラットフォーム...

news034.png

「ECプラットフォーム」売れ筋TOP10(2024年7月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news002.jpg

ロシアのbotファームがXを標的に虚偽情報を拡散 どうしてこうなった?
ロシアによる生成AIとソーシャルメディアを使った世論操作が活発化している。標的とされ...