ESXi システムでは、同一のホスト上で、ある仮想マシン グループを内部ネットワークに接続する一方で別のグループを外部ネットワークに接続し、さらにその他のグループを両方に接続する、といったことができるよう設計されています。これは、仮想マシンの隔離という基本に、仮想ネットワークの計画と使用を加えた機能です。

図 1. 単一の ESXi ホストに構成された外部ネットワーク、内部ネットワーク、および DMZ
ホストは、FTP サーバ、内部仮想マシン、DMZ という 3 つの異なる仮想マシンのゾーンに構成されています。

図では、システム管理者が FTP サーバ、内部仮想マシン、DMZ という 3 つの異なる仮想マシンのゾーンにホストを構成しています。各ゾーンのサーバには固有の機能があります。

FTP サーバ

仮想マシン 1 は、FTP ソフトウェアで構成され、ベンダーによりローカライズされたフォームやコラテラルなど、外部リソースとの間で送受信されるデータの保存エリアとして機能します。

この仮想マシンは、外部ネットワークのみと関連付けられています。このマシンには、外部ネットワーク 1 に接続する、独自の仮想スイッチおよび物理ネットワーク アダプタがあります。このネットワークは、企業が外部リソースからデータを受信するときに使用するサーバ専用のネットワークです。たとえば、企業が外部ネットワーク 1 を使用してベンダーから FTP トラフィックを受信し、FTP を介して外部で使用可能なサーバに保存されているデータに、ベンダーがアクセスできるようにします。仮想マシン 1 にサービスを提供するほか、外部ネットワーク 1 は、サイト中の異なる ESXi ホストで構成されている FTP サーバにサービスを提供します。

仮想マシン 1 は、仮想スイッチまたは物理ネットワーク アダプタをホスト内のどの仮想マシンとも共有しないので、ほかの常駐の仮想マシンは、仮想マシン 1 のネットワークに対してパケットを送受信できません。この制限により、被害者への送信ネットワーク トラフィックが必要なスニフィング攻撃を防ぎます。さらに重要なことに、攻撃者は、ホストのほかの仮想マシンにアクセスするために FTP の持つ脆弱性を使用できなくなります。

内部仮想マシン

仮想マシン 2 ~ 5 は、内部での使用のために予約されています。これらの仮想マシンは、医療記録、訴訟和解金、詐欺行為調査などの企業のプライベート データを処理および保存します。そのため、システム管理者は、これらの仮想マシンの保護レベルを最高にする必要があります。

これらの仮想マシンは、独自の仮想スイッチおよびネットワーク アダプタを介して内部ネットワーク 2 に接続します。内部ネットワーク 2 は、クレーム処理、企業内弁護士、調停人など、人事課による内部使用のために予約されています。

仮想マシン 2 ~ 5 は、仮想スイッチを介して相互に通信したり、物理ネットワーク アダプタを介して内部ネットワーク 2 の任意の内部仮想マシンと通信したりできます。これらの仮想マシンは、外部と接しているマシンとは通信できません。FTP サーバの場合と同様、これらの仮想マシンは、ほかの仮想マシンのネットワークとの間でパケットを送受信できません。同様に、ホストのほかの仮想マシンは、仮想マシン 2 ~ 5 との間でパケットを送受信できません。

DMZ

仮想マシン 6 ~ 8 は、マーケティング グループが企業の外部 Web サイトを公開するときに使用する DMZ として構成されています。

この仮想マシンのグループは、外部ネットワーク 2 および内部ネットワーク 1 に関連付けられています。 企業は外部ネットワーク 2 を使用して、マーケティングおよび財務部が企業 Web サイトや外部ユーザーに提供するその他の Web 機能をホスティングするために使用する Web サーバをサポートします。内部ネットワーク 1 は、マーケティング部が、企業 Web サイトにコンテンツを公開したり、ダウンロードを掲載したり、ユーザー フォーラムなどのサービスを保守したりするときに使用するルートです。

これらのネットワークは外部ネットワーク 1 および内部ネットワーク 2 から分離されていて、仮想マシンが接続点 (スイッチやアダプタ) を共有していないため、FTP サーバまたは内部の仮想マシン グループとの間での攻撃リスクがありません。

仮想マシンの隔離を利用して、仮想スイッチを正しく構成し、ネットワーク分離を保持すると、システム管理者は同じ ESXi ホスト内に仮想マシンのゾーン 3 つをすべて収容でき、データやリソースの漏出をなくすことができます。

企業は、複数の内部および外部ネットワークを使用し、各グループの仮想スイッチや物理ネットワーク アダプタをほかのグループのものと完全に隔離することで、仮想マシン グループの分離を強化できます。

仮想スイッチが仮想マシンのゾーンにまたがることはないので、システム管理者は、ゾーン間でのパケット漏洩のリスクを削減できます。仮想スイッチは、設計上、別の仮想スイッチにパケットを直接漏洩することはできません。パケットが仮想スイッチ間で送受信されるのは、次の場合だけです。

  • 仮想スイッチが、同じ物理 LAN に接続されている。

  • 仮想スイッチが、パケットの送受信に使用できる共通の仮想マシンに接続されている。

サンプル構成では、このいずれの条件も発生しません。システム管理者が共通の仮想スイッチ パスが存在しないことを検証する場合は、vSphere Web Client のネットワーク スイッチ レイアウトを確認すると、可能性のある共有接続点を確認できます。

仮想マシンのリソースを保護するため、システム管理者は、仮想マシンごとにリソース予約および制限を構成し、DoS および DDoS 攻撃のリスクを低減します。システム管理者は、DMZ の前後にソフトウェア ファイアウォールをインストールし、ESXi ホストが物理ファイアウォールの内側に配置されるようにし、ネットワーク ストレージ リソースを構成してそれぞれが独自の仮想スイッチ持つようにすることで、このホストおよび仮想マシンの保護を強化します。