2013年02月12日 08時00分 公開
特集/連載

仮想化の脅威、「ハイパーバイザー攻撃」を防ぐ3つの対策仮想ファイアウォールやリソース管理が重要に

仮想環境のセキュリティ対策は、物理環境と共通する部分が多い。ただし、仮想環境特有の要素であるハイパーバイザーは別だ。その主要なセキュリティ対策を紹介しよう。

[Brien Posey,TechTarget]

 ハイパーバイザーのセキュリティ対策は、あらゆるデータセンターにおいて優先すべき課題だ。1台のホストサーバで何十もの仮想化されたワークロードを処理することもある。ホストサーバ1台でもセキュリティが破られれば、大規模な障害につながりかねない。残念ながら、単独でデータセンターのセキュリティ対策を保証できる包括的な手段は存在しない。優れたセキュリティ対策のためには、多面的なアプローチが必要だ。仮想サーバ環境をセキュアに保つためにやるべきことは多数ある。

対策1:攻撃対象を減らす

 仮想データセンターのセキュリティ対策における最初の1歩は、ホストサーバの攻撃対象を狭めることだ。特に米MicrosoftHyper-Vは、Windows Serverにロールとしてインストールされることも多く、攻撃対象を減らすことが重要になる。

 もし仮想化ソフトウェアを実行するホストサーバ(仮想ホスト)でホストOSを利用する場合、ホストOSには、不必要なロールや機能やアプリケーションがあってはならない。ホストOSは、Hyper-Vやウイルス対策ソフトウェア、バックアップエージェントといった重要なインフラ要素の稼働専用にする必要がある。

 ハイパーバイザーのセキュリティ対策強化のためにできるもう1つの対策は、OSを実稼働ドメインに加えないことだ。その代わり、専用のActive Directoryのフォレスト(管理単位)に、仮想ホストの管理のみを目的とした専用の管理ドメインを作成する。この種のドメインを利用すれば、仮に仮想ホストのセキュリティ対策が破られた場合でも、実稼働ドメインを危険に晒す心配はなくなる。他にも、仮想ホスト管理ドメイン用に物理ドメインコントローラーを使う方法もある。

 可能であれば、ホストOSの利用は避けるに越したことはない。やむを得ずホストOSを使う場合、米Microsoftは、攻撃対象領域が小さいという理由で、Windows Serverの中核機能のみで構成された「Server Core」の利用を勧めている。さらに、管理トラフィックを仮想マシン(VM)のトラフィックから切り離すには、ホストOSに専用の物理ネットワークアダプターを使うことが望ましいという。

対策2:仮想ファイアウォールの検討

 仮想ファイアウォールとソフトウェアファイアウォールの使用も、ハイパーバイザーセキュリティ対策の強化に役立つ。

ITmedia マーケティング新着記事

news134.jpg

B2BサービスサイトにおけるCVの58%はトップページからの直行――WACUL調査
CV(コンバージョン)を目的としたWebサイトの改善に必要な施策とは何か。4つのデータに...

news131.jpg

星野リゾートの「市場との対話の仕組み」とは?
新型コロナウイルス感染症(COVID-19)拡大という大ピンチに観光・宿泊業が生き残る鍵と...

news155.jpg

2020年上期インターネット広告市場動向と下期業種別出稿動向予測――サイバー・コミュニケーションズ調査
国内のデジタルマーケティング業界の関係者を対象にした、新型コロナ禍におけるインター...