仮想環境を 仮想環境を防御: 防御: 5 つのベストプラクティス つのベストプラクティス 目次 セキュリティ - 仮想化の大きなハードル なぜこれまでの防御手法では不十分なのか ベストプラクティス 仮想マシンサービスの 「Good」リストを作成する ハイパーバイザーのモニタリングと防御 仮想マシン毎にアクセスコントロール を実施する 階層毎の防御 仮想化専用の機能が必要 まとめ ヤンキーグループによる最新の調査によれば、あらゆる企業のほぼ 半数が、そのデータセンターの一部を仮想化しています。 このこと は皆さんが、データセンターや DMZ、ミッションクリティカルな基幹系 アプリケーション、デスクトップ環境などの運用コストを削減するため に仮想化を先導する真っ只中(あるいはもうすぐ)という好機にいると いうことを意味しています。しかしながら仮想化への期待を実現する 前に立ちふさがるのは、セキュリティです。そして可視化と保護、コン プライアンスへの対処なしに仮想化を進めれば、仮想ネットワークを 標的としたマルウェアが拡散してしまい、仮想化セキュリティの詳細 な基準に準拠して承認を得られるかが疑わしくなります。このホワイ トペーパは、計画中あるいは既存の仮想化環境を強固にし、セキュ リティとマルウェアの抑制、法規制に準拠して設計されていることを 保証するための 5 つの方法を説明します。 セキュリティ - 仮想化の 仮想化の大きなハードル きなハードル 仮想化は、データセンターの運用に必要となるスペースと電力を大 きく削減し、増え続けるサーバーの管理を効率化することによって企 業に莫大なコスト削減をもたらします。仮想化の採用は、厳しい経済 情勢とコスト削減の要請によってさらに加速され、猛烈な勢いで進ん でいることは疑う余地がありません。仮想化されたネットワークとデ ータセンターを短期間に実装するために、組織によっては、迅速なプ ロジェクトの完了を優先し、セキュリティ上の懸念を棚上げすることを 余儀なくされています。また他では、競合する優先順位である環境 の仮想化と既存の要件である防御と可視化を維持する保証をどのよ うに調整するか奮闘しています。課題は、初期に感じたものよりはる かに大きいものです。複数のサーバーを、多数の仮想マシン(VM)を その内部に持つ一台のサーバーに集約すると、仮想化する以前に 存在していたファイアーウォールや侵入検知、その他の防御装置の すべてが、完全に撤廃されることになります。物理環境のセキュリテ ィ機器は、仮想マシン間のトラフィックに関しては、完全に「盲目」にな ります。それは仮想マシン自体がデータ通信経路に存在しないから です。その結果、防御とコントロールを実施することができなくなりま す。さらに仮想化されたトラフィックに対するリスクの増大は、まさに 仮想化を最適にリソースを利用する技術として非常に魅力的なもの にする、特徴と機能そのものです。 1 VMware は、仮想化におけるグローバル リーダーであり、パフォーマンス上の必要 性の要請に合わせて仮想マシンをある物 理ホストから別の物理ホストに移動させる ことを可能にすることで、ハードウェアとキ ャパシティのプールができるようになる VMotion や DRS(Distributed Resource Scheduling:分散リソーススケジューリン グ)のような機能を提供しています。 仮想 マシンのプロビジョニングも非常に素早く 簡単です。IT 運用担当者や部門管理者は、 テンプレートや既存の仮想マシンのクロー ニングを用いることで新しい仮想マシンを 作成できます。これにより仮想化環境は即 座にスケールできますが、アクセスコント ロールを行い、マルウェアの増殖を抑制す 図1. 仮想化におけるセキュリティの意味 るセキュリティポリシーは、そうするための プロセスが同じように自動化され、スケーラブルにならない限りスケールできません。(詳しくは後述) その結果として、 仮想マシンがホストしているコンテンツとアプリケーションは、不適切なアクセスや悪意のあるトラフィック、ある場合に は継承された貧弱なセキュリティ体制により高い危険性にさらされています。 なぜこれまでの防御手法 なぜこれまでの防御手法では 防御手法では不十分 では不十分なのか 不十分なのか 皆さんが、仮想化ネットワークをセキュアにする方法を探す場合、取りうるアプローチの数は限られていることがわかる はずです。そこでの議論の大部分は、仮想化ネットワークのトラフィックをセキュアにするために、既存のツールをどの ように活用するかに焦点を合わせています。 それには 2 つの一般的なアプローチがあります:1)VM をグループ化す るために VLAN を使用し、物理的なファイアーウォール/ルータを介してアクセスコントロールを実施する。2)ソフトウェ アベースのファイアーウォールを採用し、各 VM 上でエージェントとして動作させる。以下でこれらのアプローチを詳細 に分析します。 VLAN セグメンテーションは、LAN リソースのセグメンテーションの概念を VM を含むように拡張します。このアプロー チは、仮想マシンをグループ化し(機能やユーザベースによって分類)、仮想スイッチとルーティングの使用によって、 他の仮想マシンから分離することが基本的に必要です。(例:人事 VLAN は、人事をサービスする仮想マシンを含む) しかしながら VLAN セグメンテーションは、仮想環境をセキュアにするための恒久的なソリューションではありません。 なぜならこのアプローチの場合、ネットワークが複雑化し、パフォーマンスが低下し、セキュリティに制限があるからで す。VLAN の使用は、ESX ホスト(VMware 仮想化ソリューション)の外側に仮想マシンのトラフィックをルーティングす る必要があり、そのトラフィックを物理的なファイアーウォールに送ります。このアプローチは、パフォーマンスに影響す る遅延を引き起こすだけでなく、動的なリソースプーリングとライブマイグレーションをサポートするために、かなり複雑 なネットワーキングを必要とします。さらに VLAN ベースのセグメンテーションに注いだすべての努力にも係わらず、 VLAN 内の仮想マシン間の通信は、調べられませんし、セキュアでもありません。例えば、1 つの仮想マシンに感染し たマルウェアは、同じ VLAN 上にあるほかの仮想マシンへの感染拡大を止められません。 2 ソフトウェアベースのファイアーウォー ルを各仮想マシン上でエージェントとし て動作させることは、ユーザが慣れ親し んだ製品を購入できるので、最初は妥 当な取り組みのように見えます。しかし ながら仮想マシンの数が無秩序に増え るにつれて、管理対象となるエージェン トの数も同様に増え、このソリューション の管理コストが増大します。 セキュリテ ィに関しても、エージェントベースモデル は最善とはいえず、ハイパーバイザー (仮想オペレーティングシステム)に対す る保護がありません。そのため Conficker ワームのように仮想マシンベ ースのサービスを止めて襲ってくる攻撃 は、エージェントベースの防御をバイパ スできます。 一般的には、物理世界のセキュリティ技 図2. 仮想化セキュリティに対する従来のアプローチは不十分 術は、仮想化環境のセキュリティには適切 ではありません。なぜなら大部分が従来 のネットワーキングのコンセプト(物理サーバーや IP アドレス、MAC アドレスなど)に縛られており、これらは、仮想化 の高度に動的な世界で動作する仮想マシンの識別子としては信頼できないからです。 ベスト プラクティス 仮想マシンサービス 仮想マシンサービスの マシンサービスの 「Good」 Good」 リストを リストを作成する 作成する 仮想マシンの最適なアクセスポリシーを作成する最も良い方法の 1 つは、その仮想マシン上で実行するべき、適切で 保証されたアプリケーションとサービスのリストを作成することです。 このリストは、サーバーのタイプや、組織やビジ ネスでの使用、有効にするユーザとアプリケーションのグループなどに基づいて様々なものになります。例としてデー タベース バックエンドの仮想マシンを見てみましょう。この仮想マシンの機能を有効にする為に、特定のアプリケーショ ンやプロトコルの通信を流す必要があります。逆に、それ以外の通信を通すことは完全に不適切です。例えば、このサ ーバー上で FTP を許可する必要はないでしょう。なぜなら、このプロトコルを使ってデータベースの内外にファイルを 転送する必要性は低く、悪意のある人の侵入経路のひとつになるからです。このサーバーに対する最適なセキュリティ ポリシーは、データベースの機能を有効にするサービス、例えば SQL だけを許可し、それ以外はすべてブロックすると いうものになります。これは、データベースに特定したプロトコル以外を利用してサーバーのセキュリティ上の弱点を突 かれる リスクを著しく減少させます。 あなたのネットワーク内にある仮想マシンの各タイプ(データベース、ウェブサーバー、ファイル共有など)を取得し、一 般的に使用され、必要なアプリケーションとサービスのリスト、「Good」リストを作成することは、仮想マシンの各タイプ に対するセキュリティの基準を作成するのに役立ちます。その後、このリストを a) 正当な使用のみにアクセスを制限 するセキュリティポリシーの作成と b) 新しい正当なビジネスでの使用とサービスを反映させるために、長期に渡って ポリシーを最適化するために使用できます。 3 セキュリティが仮想化の後に導入される環境では、ホワイトリストが仮想マシンの使用を「ロックダウン(アクセスを権限 によって制限すること)」する手助けになります。仮想ファイアーウォールは、各仮想マシン上に存在するサービスとプ ロトコルを管理者に示すことができます。ホワイトリストとの比較でセキュリティリスクの可能性及び予期せぬ使用例を 明らかにし、それによって適切なアクセスコントロールポリシーの構築を可能にします。これはまた、既存のタイプから 作られる新しい VM クローンに適切なセキュリティ設定が引き継がれることも保証します。 ハイパーバイザー ハイパーバイザーの ザーのモニタリングと モニタリングと防御 仮想化に関するセキュリティ管理では、仮想マシンだけでなく、ハイパーバイザーも含む必要があります。VMware で は VMsafe テクノロジーを生みだしました。VMsafe は、仮想化環境に対するサードパーティのセキュリティソリューショ ンを可能にするために、vSphere 固有の機能を使用しています。VMsafe は、仮想マシンリソース上に極めて優れた可 視性を提供し、システムの実行のあらゆる局面をモニターできるようにし、これまで検知できなかったウィルスやルート キット、マルウェアなどをシステムに感染する前に止めることができます。仮想マシンとハイパーバイザーに対するセ キュリティの最大化を目指す企業にとって、VMware 環境が vSphere イネーブルであることを保証することが重要にな ります。これにより、ハイパーバイザーの内側から階層化された防御機能を提供する VMware パートナーソリューショ ンが利用できます。 仮想マシン 仮想マシン毎 マシン毎にアクセスコントロールを アクセスコントロールを実施する 実施する 仮想マシンそれぞれが、物理的な環境におけるサーバーとして動作します。仮想マシンそれぞれが、ファイル共有や データベース、ウェブサーバー、アプリケーションサーバー、エクストラネットなどとしてサービスを提供します。そして 多くの異なったタイプの仮想マシンが、1 台の物理ホスト上に存在する可能性があり、それらの間を流れるトラフィック は、マルウェアやワーム、悪意のある人々の活動を容易に拡散させる可能性があります。この理由により、仮想マシン 間のすべてのトラフィックをモニターすることと、不要なプロトコルをブロックするために必要となるアクセスコントロール を適用することが非常に重要になります。さらに侵入や悪意のあるトラフィックの存在を確かめるために認可されたア プリケーションとサービスを調査したくなるはずです。 この方法で、ビジネス上のクリティカルな通信は、仮想化環境の 中を柔軟に流れることが可能です。そして、保証できない不要なアクセスからの脅威を大幅に減少することで安全性も 確保できます。 階層毎 階層毎の防御 物理的な世界のように、仮想化環境内のトラフィックを保護するために、防御システムを採用することは重要です。この ことは、特定の仮想マシンに出入りしようとする不必要なサービスをブロックするセキュリティポリシーとコントロールを 適用することを意味します。この最初の階層は、このタイプの攻撃の可能性をほとんどゼロに減少させます。保護の次 の階層は、許可されたトラフィックではあるが、インサイダーが情報を盗むために悪意を持って埋め込んでいる可能性 のあるものや、リソースの誤用を防ぐ手法をトラフィックのモニタリングと検証の形態で提供します。この種の攻撃に対 する防御は、侵入検知システム(IDS)が提供する機能のような、一連の既知の攻撃シグネチャーや振る舞いと比較し てトラフィックを検証することが必要となります。 またログの集約と解析、アンチウィルスプロテクション、悪意のある活 動が検出された場合のアラートなどを含んだその他のタイプの保護も重要な防御メカニズムです。一般的には、物理 的な世界におけるトラフィックに適用される防御の階層すべてを、仮想環境に対しても検討する必要があります。キー ポイントは、これらの防御が、仮想化の柔軟性と拡張性を犠牲にすることなく、提供されることを保証することです。 このことは次のセクションの焦点です。 4 仮想化専用の 仮想化専用の機能が 機能が必要 仮想化ネットワークには、数多くのユニークな特長と機能があり、それらはデータセンターのハードウェア投資を削減す る手助けとなり、しかも無限かつ目的にかなった拡張の手段を提供します。まずパフォーマンスを最適化するキャパシ ティとメモリを活用するために、仮想マシンをある ESX ホストから別の ESX ホストに移動させることができます。この VM を通るトラフィックフローは妨害すべきではありません。それで例えば、仮想ファイアーウォールが、仮想マシンの 入出力双方向のセッションをステートフルに処理しているのであれば、そのセッションは途絶することなく、アプリケーシ ョンのセキュリティも検証を行い、セッションを継続するべきです。さらに、仮想化の大きなアドバンテージの 1 つは、新 しい仮想マシンのプロビジョニングが即時にできることです。IT 担当者に物理サーバーを準備させて、接続させるより、 簡単に既存の仮想マシンのクローンを作成して、数分で稼動させられます。その新しい仮想マシンは、単純にオリジナ ルの設定を引き継ぎます。この継承には、既存仮想マシンのタイプにより個別のセキュリティポリシーとアプリケーショ ンが含まれている必要があります。これにより、新しいリソースに対するセキュリティは自動的に準備され、その結果と して、悪意のあるトラフィックにさらされるリスクを減少させることが保証されます。また最終的には、仮想 NIC に対する IP アドレスと MAC アドレスに加えて、VMware 環境の仮想マシンは UUID を持っています。これらの固定の識別子 は、例えば仮想マシンの再起動で変わるかもしれない、仮想マシンの IP アドレスとは異なり、仮想マシンが仮想化ネッ トワークのどこにあってもついていき、仮想マシンの生涯を通して「ユニーク」なまま残ります。ネットワーキングの複雑 さとセキュリティポリシーの実施に対するリスクを避けるには、セキュリティポリシーを IP アドレスや MAC アドレスでは なく仮想マシンの UUID に紐付けることが最善策です。 これまでの議論で明らかになった点は、仮想マシン相互間のトラフィックを保護するためのシステムとテクノロジーは、 仮想化の価値を損ねることなくその防御を提供できなければならないということです。一般的に仮想化のためのファイ アーウォールや IDS、セキュリティを選択することになったら、提案された製品が以下のサポートを提供しているかどう か確認するようにしてください:vMotion、DRS、UUID、vCenter。 また、負荷の異なる ESX ホストのスループット比 較に関する特定のデータを求めることで、セキュリティ検査の影響による遅延に関して理解する必要があります。 真の仮想セキュリティプラットフォームを構築するために、努力を重ねてきたベンダーであれば、このデータを提供する ことに問題はないでしょう。 まとめ 仮想化は優れたコストと拡張性の利点により、データセンターとクラウドにおけるデファクトに近い選択肢になっていま す。もしサーバーの仮想化が、現在の皆さんのプロジェクト一覧表になくても、いずれ近いうち載ってくるでしょう。仮想 環境の計画や拡大を検討しているのであれば、混乱の中でモニタリングとアクセスコントロールの統合を延期しないこ とが重要です。仮想マシン相互間のトラフィックを見ることにより、トラブルシューティングと仮想化ネットワークの最適 化を手助けします。またすべてのトラフィックがビジネスにおいて適切で有効であるようにアクセスコントロールを定義 して洗練させることを助けることができます。既存のセキュリティツールがこれらの懸念をカバーできるかもしれないと 考えることは当然なことですが、仮想化に関する限り、これらのシステムはレガシーなテクノロジーであるということが 事実です。そしてインサイダーによる脅威が、ありそうにないように見えたとしても、それらは増加傾向にあります。こ のために、規制の更新が進行中です。しかしながら仮想セキュリティの利点を利用する為に、規制ができるのを待つ必 要はありません。VM 相互間のトラフィックをモニターし、保護するテクノロジーは存在していますし、世界中で広く使用 されています。皆さんの最大の課題は、異なる提案を理解し、皆さんの仮想化投資を守る最良の製品を選択することで す。 5
© Copyright 2024 Paperzz