VMware vSwitchは悪意ある行動やトラフィック量を制限するセキュリティ・オプションを持っています。それらのセキュリティ設定は:
1.vSphereクライアントをスタートさせ、ホストの設定タブから、VMware vSwithの現在の構成を表示しているハードウェアリストのネットワークリンクを選択します。
2.設定したいvSwithのプロパティを選択します。次のウィンドウが現在使用しているプロパティで、vSwithの現状のポートを表示します。
3.セキュリティを設定したいポートを選択し、編集をクリックします。そしてアクティベイトするために「Security」タブをクリックします。ここでは3つを表示し、選択されたポートが使用されているデフォルト・セキュリティ設定です。
図1:VMware vSwitchプロパティ
VMware vSwitchセキュリティ設定のコンフィグレーション:
最初にvSwitchセキュリティで決めることはプロミスキャスモード(promiscuous mode)を使用するかどうかです。プロミスキャスモードは他のノードに送るパケットのインターセプト、モニターにネットワーク・カードを使用します。このモードはデフォルトではオフですが、管理者はネットワークのセキュリティ分析を実行したい時に利用することができます。プロミスキャスモードでホストは仮想スイッチ経由でのすべてのネットワーク・トラフィック通過を確認することができ、ユーザがネットワーク上で何が起こっているかを確認することができます。ただし、これはネットワーク・パフォーマンスを低減させるので、セキュリティ分析時のみにこのモードを使用することを推奨します。
第二のセキュリティ・オプションは仮想ネットワーク・カードのMACアドレスを変更するかどうか指定します。これはデフォルトではアクティベイトされていて、特定状態でオペレーティング・システムがMACアドレスを変更することができます。このデフォルト設定はiSCSIストレージ・エリア・ネットワークや、Microsoft Network Load Balancerを起動させたいような時には非常に便利です。もしこれらの状況がユーザ環境に適合されない場合はこの機能はディスエーブルにして、ハッカーが仮想環境からMACアドレスを変更したり、IPアドレスの偽造を防ぎます。
第三のオプションは偽造(forge)転送を拒絶することで、VMware vSwitchセキュリティを強化します。偽造転送の拒絶は仮想マシン(VM)が実ネットワーク・カードのMACアドレスでパケットのソースMACアドレスが一致するかどうか比較します。一致しない場合はESXiホストはパケットをドロップし、VMをネットワーク・トラフィック転送から保護します。
このオプションはデフォルトではイネーブルになっていて、場合によってはソフトウェア・ライセンス問題を回避する必要があります。例えば、もし物理マシン上でソフトウェアが特定のMACアドレスでライセンスされていて、VM上のMACアドレスが違っているために仮想マシンでは稼動しない可能性があります。この場合、VMのMACアドレスを偽造することで、偽造転送がそのソフトウェアの利用を可能とします。
しかし、偽造転送にはセキュリティ・リスクが伴います。もし、管理者が特定にMACアドレスに対してのみに許されているなら、侵入者は管理者が許されていないMACアドレスを変更することができる可能性があります。
図2:仮想スイッチのセキュリティ・ポリシー設定
トラフィック・シェイピング(パケット・シェイピング)はセキュリティを向上できるVMware vSwitchプロパティです。この機能に切り替えることで、vSwitchぬい接続されている仮想ネットワーク・アダプタへの帯域幅の可能量を制限することができます。この設定はスイッチ全体の容量には影響はありませんが、各ネットワーク・インターフェイスに制限があります。この制限は平均帯域幅、ピーク帯域幅、バースト・サイズを最大化し、ノードがスイッチが飽和し、提供可能な帯域幅のすべてを要求するような状況を回避できます。これはDoS攻撃に対するよい防御になります。
図3:インターフェイスでの帯域幅設定
ソース:SearchVMware
RSSフィードを取得する
