仮想化の脅威、「ハイパーバイザー攻撃」を防ぐ3つの対策仮想ファイアウォールやリソース管理が重要に

仮想環境のセキュリティ対策は、物理環境と共通する部分が多い。ただし、仮想環境特有の要素であるハイパーバイザーは別だ。その主要なセキュリティ対策を紹介しよう。

2013年02月12日 08時00分 公開
[Brien Posey,TechTarget]

 ハイパーバイザーのセキュリティ対策は、あらゆるデータセンターにおいて優先すべき課題だ。1台のホストサーバで何十もの仮想化されたワークロードを処理することもある。ホストサーバ1台でもセキュリティが破られれば、大規模な障害につながりかねない。残念ながら、単独でデータセンターのセキュリティ対策を保証できる包括的な手段は存在しない。優れたセキュリティ対策のためには、多面的なアプローチが必要だ。仮想サーバ環境をセキュアに保つためにやるべきことは多数ある。

対策1:攻撃対象を減らす

 仮想データセンターのセキュリティ対策における最初の1歩は、ホストサーバの攻撃対象を狭めることだ。特に米MicrosoftHyper-Vは、Windows Serverにロールとしてインストールされることも多く、攻撃対象を減らすことが重要になる。

 もし仮想化ソフトウェアを実行するホストサーバ(仮想ホスト)でホストOSを利用する場合、ホストOSには、不必要なロールや機能やアプリケーションがあってはならない。ホストOSは、Hyper-Vやウイルス対策ソフトウェア、バックアップエージェントといった重要なインフラ要素の稼働専用にする必要がある。

 ハイパーバイザーのセキュリティ対策強化のためにできるもう1つの対策は、OSを実稼働ドメインに加えないことだ。その代わり、専用のActive Directoryのフォレスト(管理単位)に、仮想ホストの管理のみを目的とした専用の管理ドメインを作成する。この種のドメインを利用すれば、仮に仮想ホストのセキュリティ対策が破られた場合でも、実稼働ドメインを危険に晒す心配はなくなる。他にも、仮想ホスト管理ドメイン用に物理ドメインコントローラーを使う方法もある。

 可能であれば、ホストOSの利用は避けるに越したことはない。やむを得ずホストOSを使う場合、米Microsoftは、攻撃対象領域が小さいという理由で、Windows Serverの中核機能のみで構成された「Server Core」の利用を勧めている。さらに、管理トラフィックを仮想マシン(VM)のトラフィックから切り離すには、ホストOSに専用の物理ネットワークアダプターを使うことが望ましいという。

対策2:仮想ファイアウォールの検討

 仮想ファイアウォールとソフトウェアファイアウォールの使用も、ハイパーバイザーセキュリティ対策の強化に役立つ。

ITmedia マーケティング新着記事

news053.jpg

フォルクスワーゲンがGoogleとタッグ 生成AI「Gemini」搭載で、何ができる?
Volkswagen of AmericaはGoogleと提携し、Googleの生成AI機能を専用アプリ「myVW」に導入...

news175.jpg

JAROに寄せられた「広告への苦情」は50年分でどれくらい? 業種別、媒体別の傾向は?
設立50周年を迎えた日本広告審査機構(JARO)が、これまでに寄せられた苦情を取りまとめ...

news085.jpg

データサイエンティストの認知率は米国6割、インド8割 さて、日本は?
データサイエンティスト協会は、日本と米国、インド、ドイツの4カ国で、データサイエンテ...