仮想ネットワーク レイヤーには、仮想ネットワーク アダプタ、仮想スイッチ、分散仮想スイッチ、ポートおよびポート グループが含まれます。ESXi は、仮想ネットワーク レイヤーに依存し、仮想マシンとそのユーザー間の通信をサポートします。また、ESXi は仮想ネットワーク レイヤーを使用して、iSCSI SAN、NAS ストレージなどと通信します。

vSphere には、安全なネットワーク インフラストラクチャに必要なすべての機能が備わっています。仮想スイッチ、分散仮想スイッチ、仮想ネットワーク アダプタなどのインフラストラクチャの各要素を個別に保護できます。また、次のガイドラインを考慮してください。詳細については、vSphere ネットワークのセキュリティ強化を参照してください。

ネットワーク トラフィックの隔離

ESXi 環境の保護には、ネットワーク トラフィックの隔離が不可欠です。それぞれのネットワークで、さまざまなアクセスおよび隔離レベルが必要です。管理ネットワークは、クライアントのトラフィック、コマンドライン インターフェイス (CLI) または API トラフィック、およびサードパーティ製のソフトウェア トラフィックを通常のトラフィックから隔離します。このネットワークは、システム管理者、ネットワーク管理者、およびセキュリティ管理者のみがアクセスできるようにする必要があります。

ESXi ネットワーク セキュリティに関する推奨事項 を参照してください。

ファイアウォールを使用した仮想ネットワーク要素の保護

ファイアウォール ポートを開閉して、仮想ネットワークの各要素を個別に保護できます。ファイアウォール ルールを使用すれば、サービスと対応するファイアウォールを関連付け、サービスのステータスに応じて ESXi ファイアウォールを開閉できます。

ESXi ファイアウォールの構成 を参照してください。

ネットワーク セキュリティ ポリシーの検討

ネットワーク セキュリティ ポリシーにより、MAC アドレスのなりすましや望ましくないポート スキャンからトラフィックを保護することができます。標準スイッチおよび Distributed Switch のセキュリティ ポリシーは、ネットワーク プロトコル スタックのレイヤー 2(データ リンク レイヤー)に実装されます。セキュリティ ポリシーの 3 つの要素は、無差別モード、MAC アドレス変更、および偽装転送です。

手順については、『vSphere ネットワーク』ドキュメントを参照してください。

仮想マシン ネットワークの保護

仮想マシン ネットワークのセキュリティを強化するのに使用する方法は、インストールされているゲスト OS の種類、仮想マシンを信頼できる環境で操作するかどうか、また、その他のさまざまな要因によって異なります。仮想スイッチおよび分散仮想スイッチは、ファイアウォールのインストールなどの他の一般的なセキュリティ機能と一緒に使用すると、十分な防御を提供します。

vSphere ネットワークのセキュリティ強化 を参照してください。

使用環境を保護する VLAN の検討

ESXi は、IEEE 802.1q VLAN をサポートしています。これは、仮想マシン ネットワークまたはストレージ構成の保護強化に使用できます。VLAN では物理ネットワークをセグメント化し、同じ物理ネットワーク上の 2 台のマシンが同じ VLAN 上にないかぎり、相互にパケットを送受信できないようにできます。

VLAN を使用した仮想マシンのセキュリティ強化 を参照してください。

仮想化ストレージへの接続の保護

仮想マシンは、オペレーティング システム ファイル、プログラム ファイル、およびその他のデータを仮想ディスクに格納します。仮想マシンは、各仮想ディスクを SCSI コントローラに接続された SCSI ドライブとして認識します。仮想マシンは、ストレージの詳細から隔離され、仮想ディスクが存在する LUN に関する情報にはアクセスできません。

仮想マシン ファイル システム (VMFS) は、仮想ボリュームを ESXi ホストに提供する分散ファイル システムおよびボリューム マネージャです。ストレージへの接続の保護はユーザーが行います。たとえば、iSCSI ストレージを使用している場合、CHAP および相互 CHAP (会社のポリシーで求められる場合)を使用するように vSphere Web Client または CLI で環境を設定できます。

ストレージのセキュリティのベスト プラクティス を参照してください。

IPSec の使用の評価

ESXi では、IPSec over IPv6 がサポートされています。IPSec over IPv4 は使用できません。

インターネット プロトコル セキュリティ を参照してください。

また、使用環境のネットワーク レイヤーの保護に VMware NSX for vSphere が適しているかどうかを評価します。