ネットワークは、システムで最も脆弱性の大きい部分になる可能性があります。仮想マシン ネットワークには、物理ネットワークと同じ程度の保護が必要です。VLAN を使用すると、環境のネットワーク セキュリティを高めることができます。

VLAN は、VLAN の一部のポートだけにパケット ルーティグを許可する特定のタグ付け方法を使用した IEEE 標準ネットワーク スキームです。VLAN は、正しく構成されている場合、偶発的または悪意のある侵入から仮想マシンを保護できる、信頼性の高い方法です。

VLAN では、ネットワークの 2 台のマシンが同じ VLAN にないかぎり、パケットを送受信できないように、物理ネットワークをセグメント化できます。たとえば、会計記録や報告書は、企業が機密事項として扱う最も重要な内部情報です。販売部、出荷部、会計部の各従業員がすべて、同じ物理ネットワークの仮想マシンを使用している企業では、VLAN を設定して、会計部の仮想マシンを保護できます。

図 1. サンプル VLAN レイアウト
サンプル VLAN レイアウト

この構成では、会計部のすべての従業員は VLAN A の仮想マシンを使用し、販売部の従業員は VLAN B の仮想マシンを使用します。

ルータは、会計データを含むパケットをスイッチに転送します。これらのパケットは、VLAN A のみに配布されるようにタグが付けられます。したがって、このデータはブロードキャスト ドメイン A に制限され、ルータで構成されていないかぎり、ブロードキャスト ドメイン B に経路選択されません。

この VLAN 構成では、会計部あてに送信されるパケットを販売部が取得できないようにします。また、販売グループに送信されるパケットを会計部が受信しないようにもします。単一の仮想スイッチでサービスが提供される仮想マシンは、別の VLAN に置くことができます。

VLAN のセキュリティの考慮事項

ネットワークの一部のセキュリティに VLAN を設定する方法は、ゲスト OS やネットワーク設備の構成方法などの要素により異なります。

ESXi は、IEEE 802.1q に完全に準拠した VLAN 実装を提供します。VLAN の設定方法について、特定の方法をお勧めすることはできませんが、セキュリティ実施ポリシーの一部として VLAN 導入を使用する場合に考慮すべき要素はあります。

VLAN のセキュリティ強化

管理者には、vSphere 環境で VLAN を保護するオプションがいくつかあります。

手順

  1. ポート グループが、アップストリームの物理スイッチによって予約されている VLAN の値に構成されていないことを確認します。
    VLAN ID を物理スイッチのために予約された値に設定しないでください。
  2. 仮想ゲスト タギング (VGT) に使用する場合を除き、ポート グループが VLAN 4095 に構成されていないことを確認します。
    vSphere には次の 3 種類の VLAN タギングがあります。
    • 外部スイッチ タギング(EST)
    • 仮想スイッチ タギング (VST) - 仮想スイッチが、接続した仮想マシンの受信トラフィックを構成された VLAN ID でタグ付けし、送信トラフィックからは VLAN タグを削除します。VST モードを設定するには、1 から 4094 までの VLAN ID を割り当てます。
    • 仮想ゲスト タギング (VGT) - 仮想マシンが VLAN トラフィックを処理します。VGT モードを有効にするには、VLAN ID を 4095 に設定します。Distributed Switch 上で、[VLAN トランク] オプションを使用して VLAN に基づいた仮想マシン トラフィックを許可することもできます。

    標準スイッチでは、VLAN ネットワーク モードをスイッチ レベルまたはポート グループ レベルで構成できます。Distributed Switch では、VLAN ネットワーク モードを分散ポート グループ レベルまたはポート レベルで構成できます。

  3. 各仮想スイッチのすべての VLAN が完全にドキュメント化されていること、各仮想スイッチに必要なすべての VLAN があり、かつ必要な VLAN のみがあることを確認してください。