SpoofGuard は、仮想マシン名と IP アドレスの参照テーブルを維持することで、IP アドレスのなりすましを防ぎます。SpoofGuard は、仮想マシンの最初の起動時に NSX Manager が VMware Tools から取得した IP アドレスを使用して、この参照テーブルを維持します。
vCenter Server と同期した後、NSX Manager は各仮想マシン上の VMware Tools からすべての vCenter Server ゲスト仮想マシンの IP アドレスを収集します。仮想マシンのセキュリティが侵害された場合は、IP アドレスのなりすましにより、悪意のあるデータ転送がファイアウォール ポリシーを通り抜ける可能性があります。
SpoofGuard はデフォルトでは無効になっているため、各論理スイッチまたは VDS ポートグループで明示的に有効にする必要があります。仮想マシンの IP アドレスの変更が検出されると、この新しい IP アドレスが承認されるまで、この仮想マシンからのトラフィックは分散ファイアウォール (DFW) によってブロックされます。
特定のネットワークの SpoofGuard ポリシーを作成することにより、VMware Tools によって報告される IP アドレスを認証し、必要に応じて変更してなりすましを防止することができます。SpoofGuard は本質的に VMX ファイルと vSphere SDK から集められた仮想マシンの MAC アドレスを信用します。ファイアウォール ルールと別に運用することにより、SpoofGuard を使用して、なりすましと判断されたトラフィックをブロックすることができます。
SpoofGuard では、IPv4 アドレスと IPv6 アドレスの両方がサポートされます。VMware Tools と DHCP スヌーピングを使用している場合、vNIC に割り当てられている複数の IP アドレスを SpoofGuard ポリシーで使用できます。ARP スヌーピングは、1 つの vNIC の仮想マシンあたり、最大 128 個までのアドレスを検出します。SpoofGuard ポリシーは、仮想マシンから報告された IP アドレスの監視と管理を、次のいずれかのモードで行います。
- 最初の使用時に IP アドレスの割り当てを自動的に信頼
- このモードでは、仮想マシンからのトラフィックの通過をすべて許可しつつ、vNIC-to-IP アドレス割り当てテーブルを作成します。必要なときにこのテーブルをレビューし、IP アドレスを変更することができます。このモードは、vNIC で最初に確認されたすべての IPv4 アドレスと IPv6 アドレスを自動的に承認します。
- 使用前にすべての IP 割り当てを手動で検査して承認
- このモードでは、各 vNIC-to-IP アドレス割り当てを承認するまでは、すべてのトラフィックがブロックされます。このモードでは、複数の IPv4 アドレスを承認できます。
SpoofGuard には、システムで生成されたデフォルト ポリシーが含まれており、他の SpoofGuard ポリシーの対象とならないポート グループと論理ネットワークに適用されます。新しく追加されたネットワークは、既存のポリシーに追加するか、そのネットワーク用に新しいポリシーを作成するまで、自動的にデフォルト ポリシーに追加されます。
SpoofGuard は、NSX 分散ファイアウォール ポリシーが仮想マシンの IP アドレスを特定できる方法の 1 つです。詳細については、仮想マシンの IP アドレス検出を参照してください。