ネットワーク隔離プラクティスを採用すると、vSphere 環境におけるネットワークの安全性が大幅に強化されます。

管理ネットワークの隔離

vSphere 管理ネットワークでは、各コンポーネントの vSphere 管理インターフェイスにアクセスできます。管理インターフェイス上で動作するサービスは、攻撃者がシステムへの特権アクセスを取得するきっかけになります。このネットワークへのアクセスの取得から、リモート攻撃が始まる可能性があります。攻撃者は、管理ネットワークへのアクセスを取得すると、それがさらなる侵入のための足場となります。

ESXi ホストまたはクラスタ上で動作する最も安全性の高い仮想マシンのセキュリティ レベルで管理ネットワークを保護して、管理ネットワークへのアクセスを厳密に管理します。管理ネットワークがどんなに制限されていても、管理者は、この管理ネットワークにアクセスして、ESXi ホストと vCenter Server システムを構成する必要があります。

vSphere 管理ポート グループを一般的な標準スイッチ上の専用 VLAN に配置します。本番環境(仮想マシン)のトラフィックは、vSphere 管理ポート グループの VLAN が本番環境の仮想マシンによって使用されていない場合、標準スイッチを共有できます。

ネットワーク セグメントが、その他の管理関連エンティティが見つかったネットワーク以外のネットワークにルーティングされていないことを確認します。ネットワーク セグメントのルーティングは、vSphere Replication に適している場合があります。特に、本番環境の仮想マシン トラフィックがこのネットワークにルーティングできないことを必ず確認してください。

次の方法のいずれかを使用して、管理機能へのアクセスを厳密に制御します。

  • 特に慎重に扱う必要のある環境では、管理ネットワークにアクセスするために、制御されたゲートウェイや他の制御された方法を構成します。たとえば、管理者が VPN 経由で管理ネットワークに接続する必要がある場合です。信頼できる管理者に対してのみ、管理ネットワークへのアクセスを許可します。

  • 管理クライアントを実行するジャンプ ボックスを構成します。

ストレージ トラフィックの隔離

IP ベースのストレージ トラフィックが隔離されていることを確認します。IP ベースのストレージには、iSCSI と NFS があります。仮想マシンは、仮想スイッチおよび VLAN を IP アドレス ベースのストレージ構成と共有することがあります。このタイプの構成は、IP アドレス ベースのストレージ トラフィックを承認されていない仮想マシン ユーザーに公開する可能性があります。

IP アドレス ベースのストレージは暗号化されていないことがよくあります。このネットワークへのアクセス権限があれば、誰でも IP アドレス ベースのストレージ トラフィックを表示できます。承認されていないユーザーが IP アドレス ベースのストレージ トラフィックを表示できないようにするには、IP アドレス ベースのストレージ ネットワーク トラフィックを本番環境のトラフィックから論理的に分離します。承認されていないユーザーによるトラフィックの表示を制限するには、VMkernel 管理ネットワークから分離された VLAN またはネットワーク セグメントで、IP ベースのストレージ アダプタを構成します。

vMotion トラフィックの隔離

vMotion 移行情報は、プレーン テキストで送信されます。この情報が通過するネットワークにアクセスできるユーザーであれば、誰でもこの情報を表示できます。攻撃者が vMotion トラフィックを傍受して、仮想マシンのメモリの内容を取得できる可能性があります。これにより、移行中にコンテンツが変更される MiTM 攻撃もステージングされる可能性があります。

隔離されたネットワーク上で、vMotion トラフィックを本番環境のトラフィックから切り離します。ネットワークをルーティングできないように設定します。つまり、レイヤー 3 ルーターがこのネットワークと他のネットワークをスパンニングしないようにして、ネットワークへの外部アクセスを回避します。

vMotion ポート グループの一般的な標準スイッチ上の専用 VLAN を使用します。本番環境(仮想マシン)のトラフィックは、vMotion ポート グループの VLAN が本番環境の仮想マシンによって使用されていない場合、同じ標準スイッチを使用できます。