VMwareのセキュリティ機能を知ろう！

クラウドを支える「サーバー仮想化」のセキュリティとは？

2010年12月09日 06時00分更新

文● 八田真成／ネットワールド

ハイパーバイザーによるサーバ仮想化は、リソースの「量り売り」が可能なこともあり、クラウドコンピューティングを語る上では欠かせないテクノロジーとなった。本章では、仮想環境だからこそ考慮しておきたいセキュリティ上のポイントを解説しよう。

ハイパーバイザーに対するセキュリティ

　ハイパーバイザーは、仮想マシンや仮想ネットワークを提供するソフトウェアだ。商用製品のものであれば、

VMware ESX（ヴイエムウェア）
XenServer（シトリックス・システムズ）
Hyper-V（マイクロソフト）

などが有名だ。実際にCPUやメモリを仮想化して仮想マシンを作り出すハイパーバイザーそのものは、きわめてコンパクトな作りで、セキュリティリスクはほぼ皆無となっている。しかし、ハイパーバイザーには仮想マシンをコマンドラインやネットワーク経由で制御するためのOSが組み込まれているため、それらに対する不正なアクセスへの対策を講じる必要がある。

　VMware ESXやESXiの場合は、ハイパーバイザーに附属するOS部分として独自にカスタマイズされたLinuxが採用されている。特に、ESXのLinux部分は「サービスコンソール」と呼ばれ、Red Hat Enterprise Linux 5相当のLinuxが動作している。ESXでは非rootアカウントでのsshによる接続が可能であるため、不特定多数が管理ネットワークに接続できてしまうネットワーク構成ではリスクとなる（図1）。

図1　ネットワークの分散を行なった仮想基盤のネットワーク構成例

　また、ESXiでもESXと同様にリモート管理用にsshを有効にできる。そのため、管理ネットワークは可能な限り閉じていることが望ましいのだが、管理ネットワークを完全にクローズされた構成にしてしまうと、外部から仮想マシンのリモートコンソールが操作できなくなってしまう（ESXもESXiとも）。そのため、管理ネットワークにリモートデスクトップなどで接続できる環境を用意する場合もある。

　ハイパーバイザー管理OS（サービスコンソールなど）のウイルス対策については、管理OS自体での動作を謳っているアンチウイルスソフトが皆無に等しいのが現状だ。また、管理OSを保護できてもそれだけでは仮想マシンを保護できないため、管理OSにはアンチウイルスソフトなどをインストールしない形が一般的となっている。

仮想マシンのアンチウイルス

　ハイパーバイザー自体のウイルス対策とは異なり、仮想マシンの中で動作するゲストOSのウイルス対策は必要不可欠だ。仮想マシンであるからといって特別な注意点は存在しないので、市販のウイルス対策ソフトを仮想マシンのゲストOSにインストール可能だ（図2）。

図2　従来型のウイルス対策のアプローチ

　ただし、仮想マシン環境ならではのアプローチも存在する。ヴイエムウェアは、仮想ディスクのスナップショットをバックアップサーバーにマウントさせる「VMware Consolidated Backup（VCB）」という仕組みによって、エージェントレスでのバックアップを可能にした。これに続いてアンチウイルスについても、「VMsafe」と呼ばれる一連のAPI群によって、仮想マシンの外部からディスクのスキャンやCPU・メモリの検疫を実施する仕組みが用意されている（図3）。なお、VCBは終息予定で、現在ではVCBの機能を網羅したAPIセットのVADP（vStorage API for Data Protection）を使用するのが標準となっている。

図3　VMsafeを使った新しいウイルス対策

　VMsafe APIを活用することによって、理論上はゲストOSにアンチウイルスソフトをインストールすることなくウイルス対策が可能となる。もっとも、現時点ではゲストOSにアンチウイルスソフトをインストールする形態のほうが、パフォーマンス面で優れている。そのため、VMsafeによるアンチウイルスの完全なオフロード化（完全エージェントフリー構成）は主流とはなっていない。たとえば、ヴイエムウェアが提供するオフロードフレームワーク「vShield Endpoint」では、ゲストOSに「Thin Agent」のインストールを必要とすることで、パフォーマンスを維持しつつオフロード化のメリットを享受できるように考えられている（図4）。

図4　ゲストOSにエージェントを入れるvShield Endpoint方式のウイルス対策

　VMsafeによるアンチウイルスのオフロード化が効果を発揮すると考えられるのは、仮想デスクトップ分野への応用だ。企業向けアンチウイルスソフトウェアは、所定の時間に一斉にHDDのスキャンを開始する実装が多い。仮想デスクトップ環境においては、この集中がCPU負荷の急激な上昇を招いてしまう。だが、VMsafe APIを使用することでスキャンを夜間に分散させることなどが可能になるため、負荷の急激な上昇を防ぐことが可能だ。

（次ページ、「仮想ネットワークのセキュリティ」に続く）

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ