単一の ESXi ホスト内での複数のネットワークの作成

ESXi システムでは、同一のホスト上で、ある仮想マシングループを内部ネットワークに接続する一方で別のグループを外部ネットワークに接続し、さらにその他のグループを両方に接続する、といったことができるよう設計されています。これは、仮想マシンの隔離という基本に、仮想ネットワークの計画と使用を加えた機能です。

ホストは、FTP サーバ、内部仮想マシン、DMZ という 3 つの異なる仮想マシンのゾーンに構成されています。 — 図 1. 単一の ESXi ホストに構成された外部ネットワーク、内部ネットワーク、および DMZ

図では、システム管理者が FTP サーバ、内部仮想マシン、DMZ という 3 つの異なる仮想マシンのゾーンにホストを構成しています。各ゾーンのサーバには固有の機能があります。

FTP サーバ: 仮想マシン 1 は、FTP ソフトウェアで構成され、ベンダーによりローカライズされたフォームやコラテラルなど、外部リソースとの間で送受信されるデータの保存エリアとして機能します。; この仮想マシンは、外部ネットワークのみと関連付けられています。このマシンには、外部ネットワーク 1 に接続する、独自の仮想スイッチおよび物理ネットワークアダプタがあります。このネットワークは、企業が外部リソースからデータを受信するときに使用するサーバ専用のネットワークです。たとえば、企業が外部ネットワーク 1 を使用してベンダーから FTP トラフィックを受信し、FTP を介して外部で使用可能なサーバに保存されているデータに、ベンダーがアクセスできるようにします。仮想マシン 1 にサービスを提供するほか、外部ネットワーク 1 は、サイト中の異なる ESXi ホストで構成されている FTP サーバにサービスを提供します。; 仮想マシン 1 は、仮想スイッチまたは物理ネットワークアダプタをホスト内のどの仮想マシンとも共有しないので、ほかの常駐の仮想マシンは、仮想マシン 1 のネットワークに対してパケットを送受信できません。この制限により、被害者への送信ネットワークトラフィックが必要なスニフィング攻撃を防ぎます。さらに重要なことに、攻撃者は、ホストのほかの仮想マシンにアクセスするために FTP の持つ脆弱性を使用できなくなります。
内部仮想マシン: 仮想マシン 2 ～ 5 は、内部での使用のために予約されています。これらの仮想マシンは、医療記録、訴訟和解金、詐欺行為調査などの企業のプライベートデータを処理および保存します。そのため、システム管理者は、これらの仮想マシンの保護レベルを最高にする必要があります。; これらの仮想マシンは、独自の仮想スイッチおよびネットワークアダプタを介して内部ネットワーク 2 に接続します。内部ネットワーク 2 は、クレーム処理、企業内弁護士、調停人など、人事課による内部使用のために予約されています。; 仮想マシン 2 ～ 5 は、仮想スイッチを介して相互に通信したり、物理ネットワークアダプタを介して内部ネットワーク 2 の任意の内部仮想マシンと通信したりできます。これらの仮想マシンは、外部と接しているマシンとは通信できません。FTP サーバの場合と同様、これらの仮想マシンは、ほかの仮想マシンのネットワークとの間でパケットを送受信できません。同様に、ホストのほかの仮想マシンは、仮想マシン 2 ～ 5 との間でパケットを送受信できません。
DMZ: 仮想マシン 6 ～ 8 は、マーケティンググループが企業の外部 Web サイトを公開するときに使用する DMZ として構成されています。; この仮想マシングループは、外部ネットワーク 2 および内部ネットワーク 1 に関連付けられています。企業は外部ネットワーク 2 を使用して、マーケティング部門および財務部門が企業の Web サイトをホストするために使用する Web サーバ、および外部ユーザーをホストしているその他の Web 機能をサポートしています。内部ネットワーク 1 は、マーケティング部門による企業 Web サイトへのコンテンツ公開、ダウンロードの掲載、およびユーザーフォーラムなどのサービスの保守に使用するルートです。; これらのネットワークは外部ネットワーク 1 および内部ネットワーク 2 から分離されていて、仮想マシンが接続点（スイッチやアダプタ）を共有していないため、FTP サーバまたは内部の仮想マシングループとの間での攻撃リスクがありません。

仮想マシンの隔離を利用して、仮想スイッチを正しく構成し、ネットワーク分離を保持すると、システム管理者は同じ ESXi ホスト内に仮想マシンのゾーン 3 つをすべて収容でき、データやリソースの漏出をなくすことができます。

企業は、複数の内部および外部ネットワークを使用して、各仮想マシングループの仮想スイッチや物理ネットワークアダプタをほかの仮想マシングループと完全に隔離することで、仮想マシングループの分離を強化できます。

仮想スイッチが仮想マシンのゾーンにまたがることはないので、システム管理者は、ゾーン間でのパケット漏洩のリスクを削減できます。仮想スイッチは、設計上、別の仮想スイッチにパケットを直接漏洩することはできません。パケットが仮想スイッチ間で送受信されるのは、次の場合だけです。

仮想スイッチが、同じ物理 LAN に接続されている。
仮想スイッチが、パケットの送受信に使用できる共通の仮想マシンに接続されている。

サンプル構成では、このいずれの条件も発生しません。システム管理者が共通の仮想スイッチパスが存在しないことを検証する場合は、vSphere Client のネットワークスイッチレイアウトを確認すると、可能性のある共有接続点を確認できます。

仮想マシンのリソースを保護するため、システム管理者は、仮想マシンごとにリソース予約および制限を構成し、DoS および DDoS 攻撃のリスクを低減します。システム管理者は、DMZ の前後にソフトウェアファイアウォールをインストールし、ESXi ホストが物理ファイアウォールの内側に配置されるようにし、ネットワークストレージリソースを構成してそれぞれが独自の仮想スイッチ持つようにすることで、このホストおよび仮想マシンの保護を強化します。