vSphere 環境のネットワーク セキュリティには、物理ネットワーク環境の保護と多くの点で共通した特徴がありますが、仮想マシンにのみあてはまる特徴も含まれます。

ファイアウォール

仮想ネットワークの一部またはすべての仮想マシンにホスト ベースのファイアウォールをインストールおよび構成することで、仮想ネットワークにファイアウォール保護を追加します。

効率を高くするために、プライベート仮想マシン イーサネット ネットワーク (仮想ネットワーク) を設定できます。仮想ネットワークの場合、仮想ネットワークの入口にある仮想マシンにホスト ベースのファイアウォールをインストールします。ファイアウォールは、物理ネットワーク アダプタと仮想ネットワークの残りの仮想マシンとの間で、保護バッファとして機能します。

ホスト ベースのファイアウォールをインストールするとパフォーマンスが低下することがあるので、仮想ネットワーク上の別の仮想マシンにホスト ベースのファイアウォールをインストールする前に、セキュリティ要件とパフォーマンス目標のバランスを考慮してください。

ファイアウォールによるネットワークのセキュリティ強化 を参照してください。

セグメント化

ホスト内の異なる仮想マシン ゾーンを異なるネットワーク セグメントに置きます。各仮想マシン ゾーンをそれ自身のネットワーク セグメントで隔離すると、仮想マシン ゾーン間でデータ漏れのリスクを最小限に抑えることができます。セグメント化により、攻撃者が ARP テーブルを操作して MAC および IP アドレスのマッピングを変え、ホストとのネットワーク トラフィックのアクセスを取得するアドレス解決プロトコル (ARP) スプーフィングなどのさまざまな脅威を防止できます。攻撃者は ARP スプーフィングを使用して、中間者攻撃 (MTM)、サービス拒否 (DoS) 攻撃、対象システムのハイジャック、または仮想ネットワークの崩壊を行います。

セグメント化を綿密に計画して、仮想マシン ゾーン間のパケット転送機会を減らすことで、被害者にネットワーク トラフィックの送信が要求される傍受攻撃を防ぐことができます。さらに、攻撃者は特定の仮想マシン ゾーンでセキュリティ保護されていないサービスを使用して、ホスト内の別の仮想マシン ゾーンにアクセスすることができません。次の 2 つの方法のうちいずれかを使用してセグメント化を実装できます。各方法のメリットは異なります。

  • 仮想マシン ゾーンに個別の物理ネットワーク アダプタを使用して、ゾーンを隔離させる。仮想マシン ゾーンに個別の物理ネットワーク アダプタを設定する方法は、おそらく最も安全で、最初に作成したセグメントをあとから不正に構成されにくい方法です。

  • ネットワークを保護するように、仮想ローカル エリア ネットワーク (VLAN) を設定する。VLAN は、物理的に分離したネットワークを実装する場合のセキュリティのメリットをハードウェア オーバーヘッドなしにほとんどすべて利用できるので、追加デバイスや配線などの導入および保守にかかるコストを節約できる、実行可能なソリューションを提供します。VLAN を使用した仮想マシンのセキュリティ強化 を参照してください。

不正アクセスの防止

仮想マシン ネットワークが物理ネットワークに接続されている場合、物理マシンで構成されたネットワークのように侵害を受けやすくなります。仮想マシン ネットワークが物理ネットワークから隔離されている場合でも、ネットワークの仮想マシンは、ネットワークのほかの仮想マシンから攻撃を受けやすくなります。仮想マシンのセキュリティ要件は通常、物理マシンのセキュリティ要件と同じになります。

仮想マシンはそれぞれ隔離されています。仮想マシンは、別の仮想マシンに対して、メモリを読み取ったり書き込んだり、データへアクセスしたり、アプリケーションを使用したりすることはできません。ただしネットワーク内で、どの仮想マシンも仮想マシン グループも、ほかの仮想マシンから不正にアクセスされる可能性があるので、体外的な保護がさらに必要になることがあります。