一般的なネットワークのセキュリティ推奨事項に従うことは、ネットワーク環境のセキュリティを強化するための最初のステップです。その後、ファイアウォールや IPsec を使用したネットワークのセキュリティ強化などの特殊な領域に進むことができます。
- STP (Spanning Tree Protocol) は、ネットワーク トポロジ内でのループの形成を検出および防止します。VMware 仮想スイッチの場合、ループは他の方法で防止されており、STP は直接サポートされません。ネットワーク トポロジが変更されたときは、ネットワークがトポロジを再学習するのにある程度の時間が必要になります(30 ~ 50 秒)。この間、トラフィックの通過は許可されません。これらの問題を回避するため、ネットワーク ベンダーは、スイッチ ポートが引き続きトラフィックを転送できるようにする機能を作成しています。詳細については、https://kb.vmware.com/kb/1003804にある VMware のナレッジベースの記事を参照してください。適切なネットワーク構成とネットワーク ハードウェア構成については、ネットワーク ベンダーのドキュメントを参照してください。
- 分散仮想スイッチの Netflow トラフィックは、許可されたコレクタ IP アドレスに対してのみ送信されるようにします。Netflow エクスポートは暗号化されず、仮想ネットワークに関する情報を含めることができます。この情報により、転送中の機密情報が攻撃者によって閲覧および取得される可能性が増加します。Netflow エクスポートが必要な場合は、すべての Netflow ターゲット IP アドレスが正しいことを確認してください。
- 必ず、ロールベースのアクセス制御を使用することにより、許可された管理者のみが仮想ネットワーク コンポーネントにアクセスできるようにします。たとえば、仮想マシン管理者には、管理する仮想マシンが存在するポート グループに対してのみアクセス権を付与します。ネットワーク管理者には、すべての仮想ネットワーク コンポーネントに対するアクセス権を付与し、仮想マシンへのアクセス権は与えないようにします。アクセスを制限すると、偶発的であれ悪意のあるものであれ誤って構成するリスクが軽減され、責務の分離と最小限の権限という主要なセキュリティ概念が適用されます。
- ポート グループをネイティブ VLAN の値に構成しないようにします。多くの場合、物理スイッチはネイティブ VLAN を使用するように構成され、このネイティブ VLAN は、デフォルトで VLAN 1 になります。ESXi には、ネイティブ VLAN はありません。ポート グループで VLAN が指定されているフレームにはタグがありますが、ポート グループで VLAN が指定されていないフレームにタグは付いていません。この場合、1 というタグが付いている仮想マシンは結果的に物理スイッチのネイティブ VLAN に所属することになるため、問題が生じる可能性があります。
たとえば、Cisco 物理スイッチから届く VLAN 1 上のフレームには、VLAN 1 がこの物理スイッチ上のネイティブ VLAN であるため、タグが付けられていません。しかし、VLAN 1 として指定された ESXi ホストからのフレームには 1 というタグが付けられています。そのため、ネイティブ VLAN に向かう ESXi ホストからのトラフィックは、タグなしではなく 1 というタグが付いているので正しくルーティングされません。ネイティブ VLAN から届く物理スイッチからのトラフィックは、タグが付いていないので認識されません。ESXi 仮想スイッチのポート グループでネイティブ VLAN ID を使用している場合、このスイッチはタグなしのトラフィックを想定しているので、そのポート上の仮想マシンからのトラフィックはスイッチ上のネイティブ VLAN では認識されません。
- ポート グループをアップストリームの物理スイッチで予約された VLAN 値に構成しないようにします。物理スイッチは、特定の VLAN ID を内部的な目的で予約しており、多くの場合、これらの値に構成されているトラフィックは許可されません。たとえば、Cisco Catalyst スイッチでは通常、VLAN 1001 ~ 1024 および 4094 が予約されています。予約されている VLAN を使用すると、ネットワーク上でのサービスの拒否につながる可能性があります。
- Virtual Guest Tagging (VGT) の場合を除き、ポート グループを VLAN 4095 に構成しないようにします。ポート グループを VLAN 4095 に設定すると、VGT モードが有効になります。このモードでは、仮想スイッチが VLAN タグを変更することなくすべてのネットワーク フレームを仮想マシンに渡し、そうしたフレームの処理は仮想マシンに委ねられます。
- 分散仮想スイッチ上でポートレベルの構成オーバーライドを禁止します。ポートレベルの構成オーバーライドは、デフォルトで無効になっています。オーバーライドが有効になっている場合は、ポートグループ レベルでの設定とは異なるセキュリティ設定を仮想マシンに使用することができます。ある種の仮想マシンには固有の構成が必要ですが、監視は必要不可欠です。オーバーライドが監視されていない場合は、セキュリティ性の低い分散仮想スイッチ構成へのアクセス権を持つだれもがそのアクセス権を悪用できる可能性があります。
- 分散仮想スイッチのポート ミラー トラフィックが認証済みのコレクター ポートまたは VLAN のみに送信されるようにします。vSphere Distributed Switch は、パケット キャプチャ デバイスが特定のトラフィック フローを収集できるように、トラフィックをあるポートから別のポートにミラーリングできます。ポート ミラーリングでは、すべての指定トラフィックのコピーが非暗号化形式で送信されます。ミラーリングされたこうしたトラフィックには、キャプチャされたパケット内の完全なデータが含まれています。そのため、宛先を誤るとそのデータ全体がセキュリティ侵害の危険にさらされる可能性があります。ポート ミラーリングが必要な場合は、ポート ミラー先の VLAN、ポート、およびアップリンク ID がすべて正しいことを確認してください。