VMwareのセキュリティ機能を知ろう！

クラウドを支える「サーバー仮想化」のセキュリティとは？

2010年12月09日 06時00分更新

文● 八田真成／ネットワールド

バーチャルアプライアンスの活用

　vShield Familyの製品は、いずれもバーチャルアプライアンス（VA）として提供されているのが特徴的だ。いわゆる「アプライアンス製品」は、ハードウェアとOS、アプリケーションがワンセットになった製品だが、「バーチャルアプライアンス」は「ハードウェア」を「仮想マシン」に置き換えたソフトウェア製品となる。アプライアンス製品を仮想化することで、ユーザー側はラックの占有空間や消費電力を削減できるほか、アプライアンスメーカー側もハードウェア保守の手間が不要になる。

　また逆に、これまでアプリケーション単独で提供されていたものを、OSとアプリケーションのセットで提供することでバーチャルアプライアンス化する考え方もある。ユーザーは、OSとアプリケーションの依存関係の問題から解放される。また、アプリケーションメーカー側も、あらかじめアプリケーションをセットアップした状態で出荷できるため、インストールサポートの手間を省けるというメリットがある。

　バーチャルアプライアンスは、すべてがソフトウェアで構成されるため導入が容易で、展開時にデータセンターに足を運ぶ必要もない。クラウド時代の申し子ともいうべき存在でよいことづくめなのだが、通常のゲストOSとは異なり、構成変更が制限されるケースもあるので注意しよう。たとえば、vShield Appはハイパーバイザーと密接に連携して動作するため、ライブマイグレーションができないなどの制限が存在する。こういった、バーチャルアプライアンスならではの制限事項を運用者側はきちんと把握し、ユーザー側の過った操作を未然に防ぐなどの策を講じる必要があるだろう。

操作権限の適切な付与

　一般的なSaaSの考え方では、ユーザーにはソフトウェアを開放するだけなので問題にはならないが、PaaS（Platform as a Service）やIaaS（Infrastructure as a Service）では、ユーザー側に「仮想マシン」そのものの操作権限をある程度委譲しないといけないケースがでてくる。

　この場合、ユーザーが誤って他のユーザーの情報を閲覧できないように制限を行なうことが重要だ。仮想マシン単位で操作権限を割り当てることで実現可能となるケースも多いが、ディスク装置の領域を他のユーザーと共有している場合は、他のユーザーの仮想ディスクが見えてしまう可能性がある。ゲストOS側でログイン認証を設定して、ゲストOSのファイルシステムでACL（Access Control List）を設定していたとしても、仮想ディスクそのものをコピーされてしまうと、どちらもバイパスされてしまうおそれがあるので注意したい。

　●

　「仮想環境でのセキュリティ」ということで、サーバー仮想化環境ならではのトピックをいくつか紹介してきた。サーバー仮想化は、「物理（環境）でできることを仮想でも」という考え方で発展してきた。しかし、現在ではそれを乗り越え、「仮想（環境）でしかできないことを」という考え方が増えてきている。セキュリティ面でもVMsafe APIを活用した製品も増えてきているため、これらを活用して「仮想（環境）でしかできないセキュリティ」を獲得してはいかがだろうか。