vSphere 8.0 Update 1 以降のリリースで vSphere Virtual Volumes ストレージ プロバイダ(別名、VASA プロバイダ)バージョン 5 が提供するセキュリティの改善について説明します。vSphere 8.0 以前のリリースのセキュリティ モデルについても説明します。
vSphere 8.0 Update 1 以降での VASA 5 のサポートとセキュリティ
VASA 5 以降のバージョンのすべてのストレージ プロバイダでは、より厳格な認証メカニズムが使用されます。このメカニズムを使用するには、
ESXi のコンテキストで
vCenter Server を認証する必要があります。VASA 5 はセキュリティを改善し、次の大きな変更を含む大幅に変更された管理モデルを提供します。
- VASA 5 以降を使用してアレイに登録する各 vCenter Server ごとに、VASA プロバイダは専用の Web サーバ インスタンス(仮想ホスト)を作成します。このインスタンスは、仮想 Web サーバ インスタンスにすることも、完全に別個のインスタンスにすることもできます。vCenter Server の VASA クライアントは、証明書ベースの認証および認可を利用して、アレイで作成された専用仮想ホストにアクセスします。vCenter Server と ESXi の証明書を含むすべての VASA クライアント証明書が仮想ホストに登録されます。これにより、複数の vCenter Server システムが認証されるときに、各システムは強力な方法で隔離されます。また、VASA プロバイダは複数の vCenter Server システムの隔離を改善し、リソースが個別にアクセスできるようにします。
- VASA 5 が有効な VASA クライアントは、VASA 通信に専用の証明書を使用します。各 vCenter Server は VASA プロバイダの証明書をプロビジョニングします。この証明書は、vCenter Server 固有の専用仮想ホストを介して管理されます。VASA 5 をサポートするすべての ESXi ホストは、管理 vCenter Server によって作成された専用仮想ホストを使用します。
- vCenter Server は、新しい ESXi 8.0 Update 1 以降のホストごとに VASA クライアント証明書をプロビジョニングし、その証明書のパブリック キーを VASA プロバイダと同期します。クライアント証明書の CA 発行者を認証していた以前のセキュリティ モデルとは対照的に、VASA プロバイダはパブリック キーを使用して個々のクライアントを識別し、承認するようになりました。
- VMware セキュリティ要件に準拠するため、vSphere は TLS 通信用の自己署名証明書を信頼しません。唯一の例外は、後方互換性のために設けられている、VASA プロバイダが登録される短い期間です。アレイ管理者は、VASA プロバイダのカスタム CA 証明書を使用して、後方互換性とブートストラップのためにアレイの自己署名証明書をオーバーライドできます。
- VASA プロバイダへのアクセスが失われるのを回避するために、次のガイドラインに従ってください。詳細については、『vSphere Virtual Volumes のストレージ プロバイダの管理』を参照してください。
- VASA プロバイダをアップグレードするために登録解除し、その後再登録することはしないでください。代わりに、VASA プロバイダに適したアップグレード メカニズムを使用します。利用可能な新しい VASA バージョンについて vCenter Server から通知された場合は、合理的な時間内にこのバージョンを受け入れるようにしてください。vSphere Client からアップグレードするには、[ストレージ プロバイダのアップグレード] オプションを使用します。
- VASA プロバイダ証明書を定期的に更新します。VASA プロバイダに割り当てられた証明書がまもなく期限切れになると vCenter Server から警告された場合は、合理的な時間内に証明書を更新してください。vSphere Client[証明書の更新] オプションを使用します。
- VMCA ルート証明書または vCenter Server クライアント証明書を更新すると、SMS は VASA プロバイダとの接続を失うことがあります。プロバイダがオフラインの場合は、[vCenter Server の再認証] オプションを使用します。
- ホストが認証を失った場合は、[ホストの VASA クライアントの再認証] オプションを使用して認証の失敗を修正できます。
vSphere 8.0 以前のリリースのセキュリティ証明書
証明書は、自己生成および自己署名されたものか、外部の認証局から取得したものを使用します。vSphere には、VMware 認証局 (VMCA) が含まれています。デフォルトでは、vSphere 環境で使用されるすべての内部証明書は VMCA が作成します。新しく追加された ESXi ホスト向け、および Virtual Volumes ストレージ システムを管理または提供するストレージ VASA プロバイダ向けに証明書を生成します。
VASA プロバイダとの通信は SSL 証明書によって保護されます。これらの証明書は VASA プロバイダからまたは VMCA から取得できます。
- 長期にわたって使用する証明書は、VASA プロバイダから直接取得することを検討してください。証明書は、自己生成および自己署名されたものか、外部の認証局から取得したものを使用します。
- VASA プロバイダで使用する証明書は、VMCA で生成できます。
ホストまたは VASA プロバイダが登録されている場合、VMCA は vSphere 管理者の介入なしで、これらを自動的に使用します。
- VASA プロバイダが最初に vCenter Server ストレージ管理サービス (SMS) に追加されたときに、自己署名証明書が生成されます。
- 証明書を検証した後、SMS は VASA プロバイダから証明書署名要求 (CSR) を要求します。
- CSR を受け取って検証した後、SMS は VASA プロバイダの代わりに CSR を VMCA に渡し、CA 署名証明書を要求します。
VMCA はスタンドアロン認証局 (CA) として、またはエンタープライズ CA の従属局として機能するように構成できます。VMCA を従属 CA として設定する場合、VMCA は完全な証明書チェーンで CSR に署名します。
- ルート証明書によって署名された証明書が、VASA プロバイダに渡されます。VASA プロバイダは、vCenter Server 上および ESXi ホスト上にある SMS からの今後すべてのセキュアな接続を認証することができます。