Mirage ゲートウェイ サーバは Linux 上で実行されます。通常の OS の脆弱性からこのホストを保護する必要があります。
企業ポリシーで義務付けられているスパイウェア フィルタ、侵入検知システム、およびその他のセキュリティ対策を使用します。
OS のパッチを含め、すべてのセキュリティ対策が最新の状態になっていることを確認します。
保護構成コードは、OVA テンプレートのデプロイ中に実行されます。
表 1.
コード MEG01 の保護構成
| 構成要素 |
説明 |
| コード |
MEG01 |
| 名前 |
Mirage ゲートウェイ システムに常に適切なパッチが適用されているようにします。 |
| 説明 |
OS を常に最新のパッチが適用された状態にすることで、OS の脆弱性が緩和されます。 |
| リスクまたは制御 |
攻撃者がシステムのアクセス権を得て Mirage ゲートウェイ システム上で権限の再割り当てを行うと、攻撃者は Mirage ゲートウェイ サーバを通じて転送されるすべての CVD にアクセスできるようになります。 |
| 推奨レベル |
Enterprise |
| 条件または手順 |
業界標準ガイドラインまたは適用可能な場合は社内ガイドラインに従い、システムを使って Mirage ゲートウェイ システムに常に最新のパッチが適用されているようにします。 |
表 2.
コード MEG02 の保護構成
| 構成要素 |
説明 |
| コード |
MEG02 |
| 名前 |
Mirage ゲートウェイ サーバ ホスト上で OS の保護を提供します。 |
| 説明 |
OS レベルの保護を提供することで、OS の脆弱性が緩和されます。この保護にはアンチマルウェアなどのセキュリティ対策が含まれます。 |
| リスクまたは制御 |
攻撃者がシステムのアクセス権を得て Mirage ゲートウェイ システム上で権限の再割り当てを行うと、攻撃者は Mirage ゲートウェイ サーバを通じて転送されるすべての CVD にアクセスできるようになります。 |
| 推奨レベル |
Enterprise |
| 条件または手順 |
業界標準ガイドラインまたは適用可能な場合は社内ガイドラインに従い、アンチマルチウェアなどの OS 保護を提供します。 |
表 3.
コード MEG03 の保護構成
| 構成要素 |
説明 |
| コード |
MEG03 |
| 名前 |
特権ユーザーのログインを制限します。 |
| 説明 |
Mirage ゲートウェイ システムに管理者としてログインする権限を持つ特権ユーザーの数を最小限にします。 |
| リスクまたは制御 |
承認されていない特権ユーザーが Mirage ゲートウェイ システムへのアクセス権を得ると、承認されていない変更に対してシステムが脆弱になります。 |
| 推奨レベル |
Enterprise |
| 条件または手順 |
個々のユーザーに固有の特権ログイン アカウントを作成します。これらのアカウントはローカル管理者グループの一部である必要があります。アカウントへのシェルは、アカウントがログインできなかったり、アカウントに無効なパスワードを提供したりすることのないようにします。 |
表 4.
コード MEG04 の保護構成
| 構成要素 |
説明 |
| コード |
MEG04 |
| 名前 |
管理パスワード ポリシーを実装します。 |
| 説明 |
すべての Mirage ゲートウェイ システムにパスワード ポリシーを設定します。パスワードには次のパラメータを含めます。
- パスワードの最小文字数
- 必要な特殊文字の種類
- パスワードの定期的な変更の必要性
|
| リスクまたは制御 |
承認されていない特権ユーザーが Mirage ゲートウェイ システムへのアクセス権を得ると、承認されていない変更に対してシステムが脆弱になります。 |
| 推奨レベル |
Enterprise |
| 条件または手順 |
各 Mirage ゲートウェイ システムでパスワード ポリシーを設定します。 |
表 5.
コード MEG05 の保護構成
| 構成要素 |
説明 |
| コード |
MEG05 |
| 名前 |
不要なネットワーク プロトコルを削除します。 |
| 説明 |
Mirage ゲートウェイ は IPv4 通信のみを使用します。ファイルとプリンタの共有、NFS、sendmail、バインドや NIC などのその他のサービスは削除する必要があります。 |
| リスクまたは制御 |
承認されていない特権ユーザーが Mirage ゲートウェイ システムへのアクセス権を得ると、承認されていない変更に対してシステムがより一層脆弱になります。 |
| 推奨レベル |
Enterprise |
| 条件または手順 |
Mirage ゲートウェイ Suse OS 上で yast を実行します。[セキュリティとユーザー] 設定および [ファイアウォール] 設定の下のすべてのネットワーク プロトコルを無効にします。次の 3 つのポートを保持します。
- Mirage ゲートウェイ - デフォルト tcp 8000
- 管理 - デフォルト tcp 8080
- SSH - デフォルト tcp 22
|
表 6.
コード MEG06 の保護構成
| 構成要素 |
説明 |
| コード |
MEG06 |
| 名前 |
不要なサービスを無効にします。 |
| 説明 |
Mirage ゲートウェイでは、OS 用サービスの数を最小限にする必要があります。不要なサービスを無効にすると、セキュリティが強化されます。これにより起動時にサービスが自動的に開始されるのを防ぎます。 |
| リスクまたは制御 |
不要なサービスが実行されていると、ネットワーク攻撃に対して Mirage ゲートウェイ システムがより一層脆弱になります。 |
| 推奨レベル |
Enterprise |
| 条件または手順 |
必要のないサービスをすべて無効にします。Mirage ゲートウェイ Suse OS 上で yast を実行します。[ネットワーク サービス] ドロップダウン メニューで、SSHD と iSCSI に関連するものを除くすべてのネットワーク サービスを無効にします。 |
表 7.
コード MEG07 の保護構成
| 構成要素 |
説明 |
| コード |
MEG07 |
| 名前 |
DMZ 内の外部ファイアウォールを使用して制御します |
| 説明 |
Mirage ゲートウェイ サーバは通常、DMZ にデプロイされます。Mirage ゲートウェイとの通信が必要最小限に制限されるように、許可するプロトコルとネットワーク ポートを制御する必要があります。Mirage ゲートウェイはデータセンター内の Mirage サーバに自動的に TCP 転送を行い、転送されたすべてのトラフィックが認証されたユーザーからダイレクトされるようにします。 |
| リスクまたは制御 |
不要なプロトコルおよびポートを許可すると、特にインターネットからのネットワーク通信のプロトコルとポートに対する、悪意あるユーザーによる攻撃の可能性が高まります。 |
| 推奨レベル |
Mirage ゲートウェイ サーバの両側にファイアウォールを構成して、プロトコルとネットワーク ポートを Mirage クライアントと Mirage ゲートウェイ サーバ間で必要な最小限のセットに制限します。 Mirage ゲートウェイ サーバを分離されたネットワークにデプロイして、ブロードキャスト フレームの範囲を制限する必要があります。この構成によって、内部ネットワーク上の悪意あるユーザーによる Mirage ゲートウェイ サーバと Mirage サーバ インスタンス間の通信の監視を防止することができます。 ご使用のネットワーク スイッチで高度なセキュリティ機能を使用して、Mirage ゲートウェイと Mirage サーバとの通信の悪意ある監視を防止し、ARP キャッシュ ポイズニングなどの監視攻撃から保護することをお勧めします。 |
| パラメータまたはオブジェクト構成 |
DMZ 環境で必要なファイアウォール規則の詳細については、『VMware Mirage インストール ガイド』を参照してください。 |
表 8.
コード MEG08 の保護構成
| 構成要素 |
説明 |
| コード |
MEG08 |
| 名前 |
Mirage ゲートウェイ サーバでは、デフォルトの自己署名サーバ証明書を使用しないでください。 |
| 説明 |
初めて Mirage ゲートウェイ サーバをインストールすると、署名済み証明書が準備できるまで SSL サーバは機能できません。Mirage ゲートウェイ サーバと SSL サーバには、商用認証局 (CA) または組織 CA によって署名された SSL サーバ証明書が必要です。 |
| リスクまたは制御 |
自己署名証明書を使用すると、中間者攻撃に対して SSL 接続がより一層脆弱になります。証明書を信頼できる CA が署名した証明書に適用することで、こうした攻撃の可能性を軽減します。 |
| 推奨レベル |
Enterprise |
| 条件または手順 |
Mirage ゲートウェイ SSL 証明書のセットアップの詳細については、『VMware Mirage インストール ガイド』を参照してください。 |
| テスト |
脆弱性スキャニング ツールを使用して Mirage ゲートウェイに接続します。適切な CA によって署名されていることを確認します。 |
