vSphere 環境のネットワーク セキュリティには、物理ネットワーク環境の保護と多くの点で共通した特徴がありますが、仮想マシンにのみあてはまる特徴も含まれています。
ファイアウォール
仮想ネットワークの一部またはすべての仮想マシンにホスト ベースのファイアウォールをインストールおよび構成することで、仮想ネットワークにファイアウォール保護を追加します。
効率を高くするために、プライベート仮想マシン イーサネット ネットワーク (仮想ネットワーク) を設定できます。仮想ネットワークの場合、仮想ネットワークの入口にある仮想マシンにホスト ベースのファイアウォールをインストールします。ファイアウォールは、物理ネットワーク アダプタと仮想ネットワークの残りの仮想マシンとの間で、保護バッファとして機能します。
ホスト ベースのファイアウォールにより、パフォーマンスが低下する場合があります。仮想ネットワーク内の他の場所にある仮想マシンにホスト ベースのファイアウォールをインストールする前に、セキュリティ要件とパフォーマンス目標のバランスを調整してください。
ファイアウォールによるネットワークのセキュリティ強化を参照してください。
セグメント化
ホスト内の異なる仮想マシン ゾーンを異なるネットワーク セグメントに置きます。各仮想マシン ゾーンをそれ自身のネットワーク セグメントで隔離すると、仮想マシン ゾーン間でデータ漏れのリスクを最小限に抑えることができます。セグメント化は、アドレス解決プロトコル (ARP) のスプーフィングなど、さまざまな脅威を防ぎます。ARP スプーフィングにより、攻撃者は MAC アドレスと IP アドレスを再マップして ARP テーブルを操作し、ネットワーク トラフィックからホスト、またはホストからネットワーク トラフィックへのアクセスを実行します。攻撃者は ARP スプーフィングを使用して、中間者攻撃 (MTM)、サービス拒否 (DoS) 攻撃、対象システムのハイジャック、または仮想ネットワークの崩壊を行います。
セグメント化を慎重に計画すると、仮想マシン ゾーン間でのパケット転送の可能性が下がります。その結果、被害者へのネットワーク トラフィック送信を伴うスニフィング攻撃を阻止できます。さらに、攻撃者は特定の仮想マシン ゾーンにあるセキュリティ保護されていないサービスを使用して、ホスト内の別の仮想マシン ゾーンにアクセスできません。次の 2 つの方法のうちいずれかを使用してセグメント化を実装できます。
- 仮想マシン ゾーンに個別の物理ネットワーク アダプタを使用して、ゾーンを隔離させる。仮想マシン ゾーンに個別の物理ネットワーク アダプタを設定する方法は、最初にセグメントを作成した後では、おそらく最も安全です。これは、不正に構成されにくい方法です。
- ネットワークを保護するように、仮想ローカル エリア ネットワーク (VLAN) を設定する。VLAN は、物理的に分離したネットワークを実装した場合のセキュリティ上の利点をほぼすべて備えており、ハードウェアのオーバーヘッドもありません。VLAN を使用すると、追加のデバイスやケーブル接続を導入、保守するためのコストを節約できます。VLAN を使用した仮想マシンのセキュリティ強化を参照してください。
不正アクセスの防止
- 仮想マシン ネットワークが物理ネットワークに接続されている場合、物理マシンで構成されたネットワークのように侵害を受けやすくなります。
- 物理ネットワークに仮想マシンを接続しない場合でも、仮想マシンが他の仮想マシンから攻撃されることはあり得ます。
仮想マシンはそれぞれ隔離されています。ある仮想マシンから別の仮想マシンに対し、メモリの読み取りや書き込み、データへのアクセス、アプリケーションの使用を行うことはできません。ただし、ネットワーク内で、仮想マシンまたは仮想マシン グループが、他の仮想マシンから不正にアクセスされることはあります。このような不正アクセスから、仮想マシンを保護してください。
仮想マシンを保護する方法の詳細については、次の URL にある「仮想マシン (VM) を保護するためのセキュアな仮想ネットワーク構成」という NIST ドキュメントを参照してください。