ホスト型仮想化 vs ベアメタル型仮想化
仮想化では、「ホスト型」 と 「ベアメタル型」 の 2 種類のアプローチが一般的です。ホスト型仮想化ソフトウェアは、汎用オペレーティング システム上で、アプリケーション (ゲスト) として実行されます。ベアメタル型の仮想化では、ホスト OS を必要とせず、コンピュータ ハードウェアと直接通信します。次の表は、ホスト型仮想化プラットフォームを使用した場合と、ベアメタル型仮想化プラットフォームを使用した場合の、一般的なセキュリティ上の問題と影響について示しています。
| 問題 | ホスト型 | ベアメタル型 |
|---|---|---|
| 基盤となるオペレーティング システムの脆弱性 | ホスト型仮想化製品は、汎用オペレーティング システム上で実行されるため、そのシステムで一般的なすべての脆弱性や攻撃の影響を受けやすくなります。 | VMware のベアメタル仮想化製品は、「VMkernel」 を中心に構築されます。これは仮想化専用のマイクロカーネルで、汎用オペレーティング システムに比べ、攻撃の対象となる領域が大幅に小さくなっています。 |
| ゲストとホスト間の、ファイルとデータの共有 | ホスト型仮想化製品の多くは、ゲストとホストでユーザー情報を共有するための手段 (共有フォルダ、クリップボードなど) が用意されています。これらは大変便利ですが、データの漏洩や、悪意のあるコード侵入に対する脆弱性になります。 | ESX は仮想化に特化して設計されており、仮想マシンとホストがユーザー情報を共有するメカニズムも、その必要性もありません。 |
| リソースの割り当て | ホスト型仮想化製品は、ホスト OS のプロセス領域でアプリケーションとして実行されます。このため、ホスト OS とほかのアプリケーションに依存します。 | VMware のベアメタル型仮想化製品では、仮想マシンを基盤となるハードウェア コンポーネントから分離しながら、リソースをインテリジェントに割り当てます。1 台の仮想マシンがすべてのリソースを使用したり、システムをクラッシュさせることはありません。 |
| 用途 | ホスト型仮想化製品は、ゲスト仮想マシンを信頼性の高い環境で使用することを目的としています。たとえば、ソフトウェアの開発、テスト、デモンストレーション、およびトラブルシューティングなどで使用します。 | ESX は、ゲスト仮想マシンが悪意のあるユーザーやネットワーク トラフィックにさらされる可能性がある、本番環境での使用を目的とする製品です。仮想マシンの管理は完全かつ厳密に分離されるため、有害なアクティビティが、影響を受けた仮想マシン以外に広がるリスクは大幅に低減します。 |
Thin Virtualization (わずかな占有量の仮想化): 小さいパッケージで強力なセキュリティを実現
VMware ESXi 3.5 などのソフトウェアに見られる、「Thin (わずかな占有量の)」 仮想化は、セキュリティと管理を大幅に強化する、次世代の仮想化テクノロジーです。
- サイズが小さいと、攻撃の対象領域が小さくなり、脆弱性も低減します。
- 汎用オペレーティング システムに関連する親パーティションやコンソールに依存しないため、セキュリティ上の脆弱性となるインターフェイスが大幅に減少し、マルウェアの脅威も低減します。仮想マシンから物理ハードウェアへのデバイス ドライバのパスを考慮した場合、これは特に重要です。
- 体系化されていない、コンソール ベースの管理処理の代わりに、VI Client や Remote CLI などの、認証および監査が可能なインターフェイスを使用します。
次のステップ
VMware Security Center (英語) では、セキュリティの問題に関する最新情報をご覧いただけます。また、VMware Virtual Appliance Marketplace (英語) では、認定された仮想化のセキュリティ アプライアンスをご確認いただけます。