ネットワークは、システムで最も脆弱性の大きい部分になる可能性があります。仮想マシン ネットワークには、物理ネットワークと同じ程度の保護が必要です。VLAN を使用すると、環境のネットワーク セキュリティを高めることができます。
VLAN は、VLAN の一部のポートだけにパケット ルーティグを許可する特定のタグ付け方法を使用した IEEE 標準ネットワーク スキームです。VLAN は、正しく構成されている場合、偶発的または悪意のある侵入から仮想マシンを保護できる、信頼性の高い方法です。
VLAN では、ネットワークの 2 台のマシンが同じ VLAN にないかぎり、パケットを送受信できないように、物理ネットワークをセグメント化できます。たとえば、会計記録や報告書は、企業が機密事項として扱う最も重要な内部情報です。販売部、出荷部、会計部の各従業員がすべて、同じ物理ネットワークの仮想マシンを使用している企業では、VLAN を設定して、会計部の仮想マシンを保護できます。
この構成では、会計部のすべての従業員は VLAN A の仮想マシンを使用し、販売部の従業員は VLAN B の仮想マシンを使用します。
ルータは、会計データを含むパケットをスイッチに転送します。これらのパケットは、VLAN A のみに配布されるようにタグが付けられます。したがって、このデータはブロードキャスト ドメイン A に制限され、ルータで構成されていないかぎり、ブロードキャスト ドメイン B に経路選択されません。
この VLAN 構成では、会計部あてに送信されるパケットを販売部が取得できないようにします。また、販売グループに送信されるパケットを会計部が受信しないようにもします。単一の仮想スイッチでサービスが提供される仮想マシンは、別の VLAN に置くことができます。
VLAN のセキュリティの考慮事項
ネットワークの一部のセキュリティに VLAN を設定する方法は、ゲスト OS やネットワーク設備の構成方法などの要素により異なります。
ESXi は、IEEE 802.1q に完全に準拠した VLAN 実装を提供します。VLAN の設定方法について、特定の方法をお勧めすることはできませんが、セキュリティ実施ポリシーの一部として VLAN 導入を使用する場合に考慮すべき要素はあります。
VLAN のセキュリティ強化
管理者には、vSphere 環境で VLAN を保護するオプションがいくつかあります。