システム管理者は、vSphere 環境でいくつかの方法で vSphere Distributed Switch をセキュリティ強化することができます。

手順

  1. 静的バインドを使用した分散ポート グループの場合、自動展開機能が無効になっていることを確認します。

    vSphere 5.1 以降では、自動展開はデフォルトで有効になっています。

    自動展開を無効にするには、vSphere Web Services SDK またはコマンドライン インターフェイスを使用して、分散ポート グループで autoExpand プロパティを構成します。vSphere Web Services SDK のドキュメントを参照してください。

  2. vSphere Distributed Switch のすべてのプライベート VLAN ID が完全に文書化されていることを確認します。
  3. dvPortgroup で VLAN タギングを使用する場合、VLAN ID は外部 VLAN 対応アップストリーム スイッチの ID に対応している必要があります。VLAN ID が完全に追跡されていない場合、ID が誤って再利用され、不適切な物理マシンと仮想マシン間のトラフィックが妨げられることがあります。同様に、VLAN ID が誤っていたり欠落していたりすると、物理マシンと仮想マシンの間をトラフィックが行き来しないことがあります。
  4. vSphere Distributed Switch に関連付けられている仮想ポート グループに未使用のポートが存在しないことを確認します。
  5. すべての vSphere Distributed Switch にラベルを付けます。

    ESXi ホストに関連付けられている vSphere Distributed Switch には、スイッチ名のフィールドが必要です。このラベルは、物理スイッチに関連付けられているホスト名と同じように、スイッチの機能記述子の役割を果たします。vSphere Distributed Switch のラベルは、スイッチの機能または IP サブネットを示します。たとえば、スイッチに内部用のラベルを付けて、スイッチが仮想マシンのプライベート仮想スイッチ(物理ネットワーク アダプタがバインドされていないスイッチ)間の内部ネットワーク専用であることを示すことができます。

  6. vSphere Distributed Switch のネットワーク健全性チェックがアクティブに使用されていない場合、これを無効にします。

    ネットワーク健全性チェックは、デフォルトで無効になっています。有効にすると、攻撃者に使用される可能性のあるホスト、スイッチ、およびポートに関する情報が健全性チェック パケットに含まれるようになります。ネットワーク健全性チェックはトラブルシューティングにのみ使用し、トラブルシューティングが終了したらオフにします。

  7. ポート グループまたはポートでセキュリティ ポリシーを構成して、なりすましやレイヤー 2 傍受攻撃に対して仮想トラフィックを保護します。

    分散ポート グループおよびポートのセキュリティ ポリシーには、次のオプションがあります。

    Distributed Switch の右ボタン メニューから 分散ポート グループの管理 を選択し、ウィザードで セキュリティ を選択すると、現在の設定を表示および変更できます。『vSphere ネットワーク』ドキュメントを参照してください。