システム管理者は、vSphere 環境でいくつかの方法で vSphere Distributed Switch をセキュリティ強化することができます。

手順

  1. 静的バインドを使用する分散ポート グループの場合は、自動展開機能を無効にします。

    vSphere 5.1 以降では、自動展開はデフォルトで有効になっています。

    自動展開を無効にするには、vSphere Web Services SDK またはコマンドライン インターフェイスを使用して、分散ポート グループで autoExpand プロパティを構成します。vSphere Web Services SDK のドキュメントを参照してください。

  2. vSphere Distributed Switch のすべてのプライベート VLAN ID が完全に文書化されていることを確認します。
  3. dvPortgroup で VLAN タギングを使用する場合、VLAN ID は外部 VLAN 対応アップストリーム スイッチの ID に対応している必要があります。VLAN ID が正しく追跡されていない場合、ID が誤って再利用され、意図しないトラフィックが許可されることがあります。同様に、VLAN ID が誤っているか欠落していると、物理マシンと仮想マシンの間をトラフィックが行き来しないことがあります。
  4. vSphere Distributed Switch に関連付けられている仮想ポート グループに未使用のポートが存在しないことを確認します。
  5. すべての vSphere Distributed Switch にラベルを付けます。

    ESXi ホストに関連付けられている vSphere Distributed Switch には、スイッチ名のテキスト ボックスが必要です。このラベルは、物理スイッチに関連付けられているホスト名と同じように、スイッチの機能記述子の役割を果たします。vSphere Distributed Switch のラベルは、スイッチの機能または IP サブネットを示します。たとえば、スイッチに内部というラベルを付けて、それが、仮想マシンのプライベート仮想スイッチ上の内部ネットワーク専用であることを示すことができます。物理ネットワーク アダプタを使用するトラフィックはありません。

  6. vSphere Distributed Switch のネットワーク健全性チェックがアクティブに使用されていない場合、これを無効にします。

    ネットワーク健全性チェックはデフォルトで無効です。有効にすると、攻撃者に使用される可能性のあるホスト、スイッチ、およびポートに関する情報が健全性チェック パケットに含まれるようになります。ネットワーク健全性チェックはトラブルシューティングにのみ使用し、トラブルシューティングが終了したらオフにします。

  7. ポート グループまたはポートでセキュリティ ポリシーを構成して、なりすましやレイヤー 2 傍受攻撃に対して仮想トラフィックを保護します。

    分散ポート グループおよびポートのセキュリティ ポリシーには、次のオプションがあります。

    Distributed Switch の右ボタン メニューから 分散ポート グループの管理 を選択し、ウィザードで セキュリティ を選択すると、現在の設定を表示および変更できます。『vSphere ネットワーク』ドキュメントを参照してください。