柔軟かつ効率性に優れたデータ センターの構築
VMware vSphere は、クラウド インフラストラクチャの構築に最適な、業界をリードする仮想化プラットフォームです。 vSphere により TCO を最小に抑えながら、最も要求の厳しいビジネス クリティカルなアプリケーションの SLA (サービス レベル アグリーメント) を満たすことができます。
VMware が提供する vSphere with Operations Managementは、業界をリードする仮想化プラットフォームと、高い評価を受けている VMware の管理機能を一体化したソリューションです。 この新しいソリューションにより、vSphere のお客様はキャパシティを最適化しながら、運用情報を細かく確認することで、可用性とパフォーマンスを向上させることができます。
VMware vSphere は、クラウド インフラストラクチャの構築に最適な、業界をリードする仮想化プラットフォームです。これにより、ビジネス クリティカルなアプリケーションを安全に実行し、ビジネス ニーズに迅速に対応できるようになります。 (4 分 15 秒)
仮想インフラストラクチャの保護
すべての仮想化プラットフォームが同じではありません。 仮想インフラストラクチャ ソリューションを導入して、コスト削減と IT 運用の強化を図るには、仮想化テクノロジーがセキュリティに与える影響と、使用するプラットフォームについて理解する必要があります。 VMware は、最も堅牢で安全な仮想化プラットフォームを提供しています。
ホスト型仮想化 vs ベアメタル型仮想化
仮想化では、ホスト型とベアメタル型の 2 種類のアプローチが一般的です。 ホスト型仮想化ソフトウェアは、汎用オペレーティング システム上で、アプリケーション (ゲスト) として実行されます。 ベアメタル型の仮想化では、ホスト OS を必要とせず、コンピュータ ハードウェアと直接通信します。 次の表は、ホスト型仮想化プラットフォームを使用した場合と、ベアメタル型仮想化プラットフォームを使用した場合の、一般的なセキュリティ上の問題と影響について示しています。
|
問題
|
ホスト型
|
ベアメタル型
|
|---|---|---|
| 基盤となるオペレーティング システムの脆弱性 | ホスト型仮想化製品は汎用オペレーティング システム上で実行されるため、そのシステムのすべての脆弱性や攻撃の影響を受けやすくなります。 | VMware のベアメタル型仮想化製品は、VMkernel を中心に構築されます。これは仮想化専用のマイクロカーネルで、汎用オペレーティング システムに比べ、攻撃の対象となる領域が大幅に小さくなっています。 |
| ゲストとホスト間の、ファイルとデータの共有 | ホスト型仮想化製品の多くは、ゲストとホストでユーザー情報を共有するための手段 (共有フォルダ、クリップボードなど) が用意されています。 これらは大変便利ですが、データの漏洩や、悪意のあるコード侵入に対する脆弱性になります。 | vSphere は仮想化に特化して設計されています。仮想マシンとホストがユーザー情報を共有する必要性がないことから、そのためのメカニズムも存在しません。 |
| リソースの割り当て | ホスト型仮想化製品は、ホスト OS のプロセス領域でアプリケーションとして実行されます。 このため、ホスト OS とほかのアプリケーションに依存します。 | VMware のベアメタル型仮想化製品では、仮想マシンを基盤となるハードウェア コンポーネントから分離しながら、リソースをインテリジェントに割り当てます。 1 台の仮想マシンがすべてのリソースを使用したり、システムをクラッシュさせることはありません。 |
| 用途 | ホスト型仮想化製品は、ゲスト仮想マシンを信頼性の高い環境で使用することを目的としています。 たとえば、ソフトウェアの開発、テスト、デモンストレーション、およびトラブルシューティングなどで使用します。 | vSphere は、ゲスト仮想マシンが悪意のあるユーザーやネットワーク トラフィックにさらされる可能性がある、本番環境での使用を目的としています。 仮想マシンの管理は完全かつ厳密に分離されるため、有害なアクティビティが、影響を受けた仮想マシン以外に広がるリスクは大幅に低減します。 |
Thin Virtualization (わずかな占有量の仮想化): 小さいパッケージで強力なセキュリティを実現
vSphere 5.1 などのソフトウェアが提供する占有量の小さな仮想化により、セキュリティと管理が大幅に強化されます。
- コンソール オペレーティング システムが削除されたことで、ソフトウェアの占有量が大幅に減少し、導入が簡素化され、メンテナンスや適用するパッチも大幅に少なくなります。
- 本来の目的とは関係のない余計なソフトウェアを排除してサイズを小さくすることで、攻撃の対象となる領域が小さくなり、脆弱性も低減されます。
- 許可されていないソフトウェアのインストールを防ぐためのメカニズムが組み込まれています。 vSphere ホストには、デジタル署名されているソフトウェア パッケージのみをインストールすることができます。
- 堅牢な API により、エージェントを使用しない監視機能を利用できるようになり、サードパーティ製のソフトウェア コンポーネントをホストに直接インストールする必要がなくなります。
vSphere 5.1: 市場で最もセキュアなハイパーバイザー
ソフトウェアの許容レベル:vSphere ホストには、ユーザー定義の許容レベルを満たし、信頼できるデジタル署名がついているソフトウェアのみをインストールできます。
ホストのファイアウォール:vSphere のホスト管理インターフェイスは、サービス指向でステートレスなファイアウォールによって保護されます。このファイアウォールは vSphere Client または ESXCLI のコマンド ライン インターフェイスを使用して構成できます。 新しいファイアウォール エンジンにより、iptables の使用が不要になり、ルール セットを使用して各サービスのポート ルールを定義できるようになりました。 さらに、各サービスへアクセスするための IP アドレスまたは IP アドレスの範囲を、リモート ホストに指定できます。
セキュリティの強化:ESXi シェルで操作する場合に、共有の root アカウントを使用する必要はなくなりました。 管理権限を割り当てられたローカル ユーザーは、シェルに対する完全なアクセス権が自動的に付与されます。 シェルへのフル アクセスを取得したローカル ユーザーは、権限を必要とするコマンドを実行するときに、su コマンドを使って root 権限を取得する必要がなくなりました。
ログの記録と監査の強化:vSphere 5.1 では、シェルまたは Direct Console User Interface (DCUI) から実行するすべてのホスト アクティビティが、ログイン ユーザーのアカウント名で記録されます。これにより、ホスト上のアクティビティの監視と監査が容易になります。
安全性の高い Syslog:すべてのログ メッセージが syslog によって生成されるようになり、メッセージをローカル、またはリモートのログ サーバ (複数可) にログとして記録できるようになりました。 メッセージは、SSL (Secure Sockets Layer) または TCP 接続のいずれかを使用して、リモートで記録できます。 さまざまなソースからのログ メッセージを、さまざまなログファイルに出力するよう構成できます。 メッセージ ログの出力は、vSphere Client 以外に、ESXCLI のコマンド ライン インターフェイスでも構成できます。
Active Directory との連携:Active Directory ドメインに追加するようにホストを構成することができます。 そのホストにアクセスするユーザーは、中央のユーザー ディレクトリを基準にして自動的に認証されます。 また、ローカル ユーザーを利用することも可能です。ローカル ユーザーはホストごとに定義および管理され、vSphere Client、vCLI、または PowerCLI を使用して構成されます。 ローカル ユーザーは、Active Directory との連携の代わりに使用することも、Active Directory との連携と合わせて使用することもできます。
vShield Endpoint のバンドル:vSphere 5.1 に新たに組み込まれた vShield Endpoint は、ゲスト仮想マシン内のアンチウイルスとアンチマルウェア エージェントによる処理の負荷を、VMware パートナーが提供するセキュアな専用仮想アプライアンスに委譲します。
