仮想ネットワーク レイヤーには、仮想ネットワーク アダプタ、仮想スイッチ、分散仮想スイッチ、ポートおよびポート グループが含まれます。ESXiは、仮想ネットワーク レイヤーに依存して、仮想マシンとそのユーザー間の通信をサポートします。また、ESXiは仮想ネットワーク レイヤーを使用して、iSCSI SAN、NAS ストレージなどと通信します。
vSphere には、安全なネットワーク インフラストラクチャに必要なすべての機能が備わっています。仮想スイッチ、分散仮想スイッチ、および仮想ネットワーク アダプタなどのインフラストラクチャの各要素を個別に保護できます。また、次のガイドラインを考慮してください。詳細については、vSphere ネットワークのセキュリティ強化を参照してください。
- ネットワーク トラフィックの隔離
- ESXi環境の保護には、ネットワーク トラフィックの隔離が不可欠です。それぞれのネットワークで、さまざまなアクセスおよび隔離レベルが必要です。管理ネットワークは、クライアントのトラフィック、コマンドライン インターフェイス (CLI) または API トラフィック、およびサードパーティ製のソフトウェア トラフィックを通常のトラフィックから隔離します。管理ネットワークには、システム管理者、ネットワーク管理者およびセキュリティ管理者だけがアクセスできるようにします。
- ファイアウォールを使用した仮想ネットワーク要素の保護
- ファイアウォール ポートを開閉して、仮想ネットワークの各要素を個別に保護できます。 ESXiホストでは、ファイアウォール ルールを使用すれば、対応するファイアウォールをサービスと関連付け、サービスのステータスに応じてファイアウォールを開閉できます。
- ネットワーク セキュリティ ポリシーの検討
- ネットワーク セキュリティ ポリシーにより、MAC アドレスのなりすましや望ましくないポート スキャンからトラフィックを保護することができます。標準スイッチおよび Distributed Switch のセキュリティ ポリシーは、ネットワーク プロトコル スタックのレイヤー 2(データ リンク レイヤー)に実装されます。セキュリティ ポリシーの 3 つの要素は、無差別モード、MAC アドレス変更、および偽装転送です。
- 仮想マシン ネットワークの保護
-
仮想マシン ネットワークを保護するためにどの方法を使用するかは、次のようないくつかの要因によって決まります。
- インストールされているゲスト OS
- 仮想マシンが信頼される環境で運用されるかどうか。
- 使用環境を保護する VLAN の検討
- ESXiは、IEEE 802.1q VLAN をサポートします。VLAN によって物理ネットワークをセグメント化できます。仮想マシン ネットワークまたはストレージ構成の保護を強化するために、VLAN を使用できます。VLAN を使用すると、同じ物理ネットワーク上の 2 台の仮想マシンは同じ VLAN 上にない限り、相互にパケットを送受信することはできません。
- 仮想化ストレージへの接続の保護
- 仮想マシンは、オペレーティング システム ファイル、アプリケーション ファイル、およびその他のデータを仮想ディスクに格納します。仮想マシンは、各仮想ディスクを SCSI コントローラに接続された SCSI ドライブとして認識します。仮想マシンは、ストレージの詳細から隔離され、仮想ディスクがある LUN に関する情報にはアクセスできません。
- IPSec の使用の評価
- ESXiでは、IPSec over IPv6 がサポートされています。IPSec over IPv4 は使用できません。