vSphere 標準スイッチのセキュリティ強化

標準スイッチのトラフィックは、仮想マシンネットワークアダプタの MAC アドレスモードの一部を制限することで、レイヤー 2 攻撃から保護できます。

各仮想マシンネットワークアダプタには、初期 MAC アドレスと有効な MAC アドレスがあります。

初期 MAC アドレス

初期 MAC アドレスは、アダプタの作成時に割り当てられます。初期 MAC アドレスは、ゲスト OS の外部から再構成できますが、ゲスト OS により変更することはできません。

有効な MAC アドレス

各アダプタには有効な MAC アドレスがあります。これは、送信先 MAC アドレスが有効な MAC アドレスとは異なる着信ネットワークトラフィックをフィルタリングするために使用します。ゲスト OS は、有効な MAC アドレスの設定に関与し、通常、有効な MAC アドレスを初期 MAC アドレスに一致させます。

仮想マシンネットワークアダプタを作成した場合の動作

仮想マシンネットワークアダプタの作成時、有効な MAC アドレスおよび初期 MAC アドレスは同じです。ゲスト OS は、有効な MAC アドレスの値をいつでも変更できます。オペレーティングシステムが有効な MAC アドレスを変更すると、そのネットワークアダプタは、新規 MAC アドレスに送信されるネットワークトラフィックを受信します。

ネットワークアダプタを通してパケットを送信する場合、ゲスト OS は通常、それ自身のアダプタの有効な MAC アドレスをイーサネットフレームの送信元 MAC アドレスフィールドに置きます。受信側ネットワークアダプタの MAC アドレスは、送信先 MAC アドレスフィールドに置きます。受信側アダプタは、パケットの送信先 MAC アドレスがそれ自身の有効な MAC アドレスに一致する場合だけパケットを受け付けます。

オペレーティングシステムは、なりすましている送信元 MAC アドレスを持つフレームを送信できます。そのため、オペレーティングシステムは、受信側ネットワークが許可するネットワークアダプタになりすまし、ネットワーク内のデバイスに対して悪意のある攻撃を実行できます。

セキュリティポリシーを使用したポートおよびグループの保護

ポートグループまたはポートでセキュリティポリシーを構成して、なりすましやレイヤー 2 攻撃に対して仮想トラフィックを保護します。

分散ポートグループおよびポートのセキュリティポリシーには、次のオプションがあります。

MAC アドレス変更（MAC アドレス変更を参照）
プロミスキャスモード（無差別モード操作を参照）
偽装転送（偽装転送を参照）

デフォルトの設定は、ホストに関連付けられている仮想スイッチを vSphere Client から選択することにより、表示および変更できます。vSphere のネットワークドキュメントを参照してください。

MAC アドレス変更

仮想スイッチのセキュリティポリシーには [MAC アドレス変更] オプションが含まれています。このオプションにより、MAC アドレスが VMX で構成されているものとは異なるフレームを仮想マシンで受信できるようになります。

[Mac アドレスの変更] オプションが [承諾] に設定されている場合、ESXi は仮想マシンの有効な MAC アドレスを初期 MAC アドレスとは異なるアドレスに変更する要求を受け入れます。

[Mac アドレスの変更] オプションが [拒否] に設定されている場合、ESXi は仮想マシンの有効な MAC アドレスを、初期 MAC アドレスとは異なるアドレスに変更する要求を拒否します。この設定により、MAC のなりすましに対してホストが保護されます。仮想マシンアダプタが要求の送信に使用したポートは無効になります。仮想マシンアダプタは、有効な MAC アドレスが初期 MAC アドレスと一致しない限り、それ以上のフレームを受け取りません。ゲスト OS は、MAC アドレスの変更要求が拒否されたことを検知しません。

注： iSCSI イニシエータは、特定のタイプのストレージから MAC アドレスを変更できることに依存しています。 ESXi iSCSI を iSCSI ストレージとともに使用している場合、 [MAC アドレス変更] オプションを [承諾] に設定します。

場合によっては、複数のアダプタがネットワーク上で同じ MAC アドレスを使用することが適切な場合もあります。たとえば、Microsoft Network Load Balancing をユニキャストモードで使用している場合です。Microsoft Network Load Balancing が標準マルチキャストモードで使用される場合、アダプタは MAC アドレスを共有しません。

注： vSphere 7.0 以降、 [偽装転送] および [MAC アドレス変更] のデフォルトが [承諾] ではなく [拒否] に変更されました。検証する場合は、ストレージベンダーにお問い合わせください。

偽装転送

[偽装転送] オプションは、仮想マシンから転送されるトラフィックに影響を及ぼします。

[偽造転送] オプションが [承諾] に設定されている場合、ESXi はソースと有効な MAC アドレスを比較しません。

[偽装転送] オプションを [拒否] に設定して、MAC のなりすましに対して保護できます。このように設定すると、ホストはゲスト OS から転送されるソース MAC アドレスと、その仮想マシンアダプタの有効な MAC アドレスを比較して、それらが一致するかどうかを確認します。アドレスが一致しない場合、ESXi ホストはパケットをドロップします。

ゲスト OS は、仮想マシンアダプタが、なりすましている MAC アドレスを使用したパケットの送信を実行できないことは検知しません。ESXi ホストは、なりすましているアドレスのパケットが配信される前に、そのパケットを遮断します。ゲスト OS は、そのパケットがドロップされたとみなす可能性があります。

注： vSphere 7.0 以降、 [偽装転送] および [MAC アドレス変更] のデフォルトが [承諾] ではなく [拒否] に変更されました。

無差別モード操作

無差別モードでは、仮想マシンアダプタが実行するすべての受信フィルタリングが除去されるため、ゲスト OS は回線で監視されるすべてのトラフィックを受信します。デフォルトでは、仮想マシンアダプタは無差別モードで操作できません。

無差別モードは、ネットワークアクティビティのトラッキングに便利ですが、無差別モードのアダプタは、いくつかのパケットが特定のネットワークアダプタのみに受信される場合でもパケットにアクセスできるため、この操作は安全ではありません。つまり、仮想マシン内のシステム管理者または root ユーザーは、ほかのゲスト OS またはホスト OS に送信されるトラフィックを参照できます。

仮想マシンのアダプタを無差別モードに構成する方法については、『vSphere のネットワーク』ドキュメントの vSphere 標準スイッチまたは標準ポートグループのセキュリティポリシーの構成に関するトピックを参照してください。

注：場合によっては、標準または分散仮想スイッチを無差別モードで実行するように構成することが適切なこともあります。たとえば、ネットワーク侵入検知ソフトウェアやパケットスニファーを実行している場合などです。