仮想マシンを保護するには、ゲスト OS に継続的にパッチを適用し、物理マシンと同じように使用環境を保護します。不要な機能を無効にして、仮想マシン コンソールの使用を最小限に抑え、ベスト プラクティスに従うことを検討してください。

ゲスト OS の保護

ゲスト OS を保護するには、最新のパッチを使用し、適切な場合はアンチスパイウェアやアンチマルウェア アプリケーションも使用するようにします。ゲスト OS ベンダーのドキュメントや、書籍またはインターネットで入手できる、そのオペレーティング システム関するその他の情報を参照してください。

不要な機能の無効化

不要な機能が無効になっていて、潜在的な攻撃ポイントが最小限に抑えられていることを確認します。使用頻度の少ない機能の多くがデフォルトで無効になっています。不要なハードウェアを削除し、仮想マシンとリモート コンソール間の Host-Guest FileSystem (HGFS) やコピー アンド ペーストなどの特定の機能を無効にします。

仮想マシン内の不必要な機能の無効化を参照してください。

テンプレートおよびスクリプトによる管理の使用

仮想マシン テンプレートを使用すると、要件に合わせてオペレーティング システムを設定し、同じ設定でその他の仮想マシンを作成できます。

初期導入後に仮想マシンの設定を変更する場合、PowerCLI などのスクリプトを使用することを検討してください。このドキュメントでは、GUI を使用してタスクを実行する方法について説明します。使用中の環境の一貫性を維持するには、GUI ではなくスクリプトの使用を検討してください。大規模環境の場合、仮想マシンをフォルダにグループ化してスクリプトを最適化できます。

テンプレートの詳細については、 仮想マシンをデプロイするためのテンプレートの使用および『 vSphere の仮想マシン管理』を参照してください。PowerCLI の詳細については、VMware PowerCLI のドキュメントを参照してください。

仮想マシン コンソールの使用の最小化

仮想マシンのコンソールには、物理サーバーで行う監視と同じように、仮想マシンで監視を行う機能があります。仮想マシン コンソールにアクセス可能なユーザーは、仮想マシンの電源管理とリムーバブル デバイスの接続制御にアクセスできます。そのため、仮想マシン コンソールへのアクセスによって、仮想マシンに悪意のある攻撃がが発生する可能性があります。

UEFI セキュア ブートの検討

vSphere 6.5 以降では、UEFI ブートを使用するよう仮想マシンを構成できます。オペレーティング システムがセキュア UEFI ブートをサポートしている場合は、このオプションを仮想マシンに対して選択し、セキュリティを強化できます。 仮想マシンの UEFI セキュア ブートを有効または無効にするを参照してください。

VMware AppDefense の検討

vSphere 6.7 Update 1 以降、VMware AppDefense プラグインをインストールして使用し、アプリケーションを保護してエンドポイントのセキュリティを確保できます。AppDefense プラグインは、vSphere Platinum ライセンスで使用できます。Platinum ライセンスの場合は、インベントリ内のすべての仮想マシンの [サマリ] タブに AppDefense パネルが表示されます。そのパネルから、AppDefense プラグインをインストールまたはアップグレードしたり、詳細を表示したりすることができます。VMware AppDefense の詳細については、『 AppDefense』ドキュメントを参照してください。