仮想ネットワーク レイヤーには、仮想ネットワーク アダプタ、仮想スイッチ、分散仮想スイッチ、ポートおよびポート グループが含まれます。ESXi は、仮想ネットワーク レイヤーに依存し、仮想マシンとそのユーザー間の通信をサポートします。また、ESXi は仮想ネットワーク レイヤーを使用して、iSCSI SAN、NAS ストレージなどと通信します。

vSphere には、安全なネットワーク インフラストラクチャに必要なすべての機能が備わっています。仮想スイッチ、分散仮想スイッチ、および仮想ネットワーク アダプタなどのインフラストラクチャの各要素を個別に保護できます。また、次のガイドラインを考慮してください。詳細については、vSphere ネットワークのセキュリティ強化を参照してください。

ネットワーク トラフィックの隔離

ESXi 環境の保護には、ネットワーク トラフィックの隔離が不可欠です。それぞれのネットワークで、さまざまなアクセスおよび隔離レベルが必要です。管理ネットワークは、クライアントのトラフィック、コマンドライン インターフェイス (CLI) または API トラフィック、およびサードパーティ製のソフトウェア トラフィックを通常のトラフィックから隔離します。管理ネットワークには、システム管理者、ネットワーク管理者およびセキュリティ管理者だけがアクセスできるようにします。

ESXi のネットワーク セキュリティに関する推奨事項を参照してください。

ファイアウォールを使用した仮想ネットワーク要素の保護

ファイアウォール ポートを開閉して、仮想ネットワークの各要素を個別に保護できます。ESXi ホストでは、ファイアウォール ルールを使用すれば、対応するファイアウォールをサービスと関連付け、サービスのステータスに応じてファイアウォールを開閉できます。

また、vCenter Server インスタンス上でポートを明示的に開くこともできます。

vSphere、vSAN を含む VMware 製品でサポートされているすべてのポートとプロトコルのリストについては、https://ports.vmware.com/の VMware Ports and Protocols Tool™ を参照してください。VMware 製品別のポート検索、ポートのカスタマイズ リストの作成、およびポート リストの出力または保存を行うことができます。

ネットワーク セキュリティ ポリシーの検討

ネットワーク セキュリティ ポリシーにより、MAC アドレスのなりすましや望ましくないポート スキャンからトラフィックを保護することができます。標準スイッチおよび Distributed Switch のセキュリティ ポリシーは、ネットワーク プロトコル スタックのレイヤー 2(データ リンク レイヤー)に実装されます。セキュリティ ポリシーの 3 つの要素は、無差別モード、MAC アドレス変更、および偽装転送です。

手順については、『vSphere のネットワーク』ドキュメントを参照してください。

仮想マシン ネットワークの保護

仮想マシン ネットワークを保護するためにどの方法を使用するかは、次のようないくつかの要因によって決まります。
  • インストールされているゲスト OS
  • 仮想マシンが信頼される環境で運用されるかどうか。
仮想スイッチおよび分散仮想スイッチは、ファイアウォールのインストールなどの他の一般的なセキュリティ機能と一緒に使用すると、強力な防御を実現できます。

vSphere ネットワークのセキュリティ強化を参照してください。

使用環境を保護する VLAN の検討

ESXi は、IEEE 802.1q VLAN をサポートします。VLAN によって物理ネットワークをセグメント化できます。仮想マシン ネットワークまたはストレージ構成の保護を強化するために、VLAN を使用できます。VLAN を使用すると、同じ物理ネットワーク上の 2 台の仮想マシンは同じ VLAN 上にない限り、相互にパケットを送受信することはできません。

VLAN を使用した仮想マシンのセキュリティ強化を参照してください。

仮想化ストレージへの接続の保護

仮想マシンは、オペレーティング システム ファイル、アプリケーション ファイル、およびその他のデータを仮想ディスクに格納します。仮想マシンは、各仮想ディスクを SCSI コントローラに接続された SCSI ドライブとして認識します。仮想マシンは、ストレージの詳細から隔離され、仮想ディスクが存在する LUN に関する情報にはアクセスできません。

仮想マシン ファイル システム (VMFS) は、Virtual Volumes を ESXi ホストに提供する分散ファイル システムおよびボリューム マネージャです。ストレージへの接続の保護はユーザーが行います。たとえば、iSCSI ストレージを使用している場合、Challenge Handshake Authentication Protocol (CHAP) を使用するように環境を設定できます。会社のポリシーで必要な場合は、相互 CHAP を設定することができます。vSphere Client または CLI を使用して CHAP を設定します。

ストレージのセキュリティのベスト プラクティスを参照してください。

Internet Protocol Security の使用の評価

ESXi では、Internet Protocol Security (IPsec) over IPv6 がサポートされています。IPSec over IPv4 は使用できません。

ESXi ホストでのインターネット プロトコル セキュリティの使用を参照してください。