NISTがGuide to Security for Full Virtualization Technologiesのドラフトを公開(20100722-3)
 |
米国立科学技術研究所(NIST)のコンピュータセキュリティ部門は先週、「Guide to Security for Full Virtualization Technologies」(フル仮想化技術のためのセキュリティガイド)というタイトルの新しい論文の初稿を公開した。
著者は、業界で「ハードウェア仮想化」と呼ばれるものの意味で「フル仮想化」を使用している。仮想マシン(VM)をホスティングするタイプ1(ベアメタルもしくはハイパーバイザー)もしくはタイプ2(ホステド)仮想マシンモニタ(VMM)ベースの仮想化プラットフォームだ。
同書ではほかにも、「サーバ集約用ハードウェア仮想化」の意味で「サーバ仮想化」を、そして「クライアント集約用のハードウェア仮想化」ではなく「消費者用デスクトップ上で実行されるハードウェア仮想化」の意味で「デスクトップ仮想化」を使用している。
35ページ構成の同書は3つのセクションに分かれており、1つめのセクションはフル仮想化とそのインプリメンテーションの概念を紹介している。2つめのセクションは仮想化コンポーネント向けのセキュリティアドバイスを提供し、3つめでは仮想化のプラニングと導入のセキュリティ確保について学ぶ。
セキュリティアドバイスは具体的なセクションに分かれており、ハイパーバイザー用、ゲストOS用、仮想インフラ用、そしてホステドデスクトップ仮想化プラットフォーム用などがある。
アドバイスはかなり一般的な内容で、ハイパーバイザーに関するものは以下のようになっている。
- アップデートは、ベンダーからリリースされたらすべてハイパーバイザーにインストールする。大半のハイパーバイザーには、アップデートを自動的にチェックして見つけたらインストールするという機能がある。アップデート管理には一元管理対応のパッチ管理ソリューションを使うこともできる。
- 未使用物理ハードウェアはホストシステムとの接続を解除する。たとえば、リムーバブル・ディスクドライブはバックアップの目的で時々使うが、バックアップやリストアであまり利用していないときは接続を解除する。使用していないNICもネットワークとの接続を解除する。
- ゲストOSおよびホストOS間のクリップボード/ファイル共有のようなハイパーバイザーサービスは必要でない限りすべて無効にする。これらのサービスすべてがアタックベクトルになる可能性を秘めている。ファイル共有も、1つ以上のゲストOSがホストOSと同じフォルダを共有するシステム上のアタックベクトルになり得る。
- 各ゲストOSのセキュリティ監視に内観機能の使用を検討する。ゲストOSが危険にさらされている場合、改ざんの兆候を抑えるようセキュリティコントロールを無効にしたり、設定し直すことができる。ハイパーバイザーにセキュリティサービスが搭載されていることで、ゲストOSに危害が加えられているときでもセキュリティ監視が可能になる。
- ゲストOS間で発生している活動のセキュリティ監視にも内観機能の使用を検討する。これは、非仮想環境でネットワークをまたいでネットワークセキュリティコントロール(ネットワークファイアウォール、セキュリティアプライアンス、およびネットワークIDPSセンサなど)により監視されるコミュニケーションにとって特に重要だ。
- 危害を加える兆候がないかどうかハイパーバイザー自体を慎重に監視する。これには、一部ハイパーバイザーが提供する自己整合性監視機能の使用や、動作中に行うハイパーバイザーのログの監視や分析などが含まれる。
とはいえ、このガイドは仮想インフラの安全を確保するのに良い出発点となり、新しいVMware vSphere 4.0 Security Hardening Guide」(vSphere 4.0セキュリティハードニングガイド)など、仮想化ベンダー各社がリリースしている具体的なハードニングガイドと合わせて読みたい。
閲覧ランキングトップ5(2011年11月)
最新の記事
December 21st, 2011
Oracle社が仮想化プラットフォームであるVM VirtualBoxのバージョン4.1.8をリリースした。メンテナンスリリースと見なされるこのバージョンは2011年11月にリリースされたバージョン4.…
December 21st, 2011
先ごろQuest Software社により買収されたVKernel社がvOperations Suite(vOps)のバージョン4.5をリリースした。vOperationsはパフォーマンス分析、キャパシテ…
December 8th, 2011
Teradici社は、ソフトウェア(VMware View)内部で利用され、複数のベンダー各社にOEM供給されるTeradici社のハードウェアソリューションと一緒に提供されているPC-over-IP(…
December 8th, 2011
Citrix社が「Windows 2008 R2 Optimization Guide For Desktop Virtualization with XenApp 6/6.5(XenApp 6/6.5を使ったデスクトップ…
December 7th, 2011
オープンソースベンダーのRed Hat社が同社のLinuxディストリビューションであるRed Hat Enterprise Linuxのバージョン6.2をリリースした。このバージョンは2011年5月にリリース…
December 7th, 2011
Microsoft社が同社のハイパーバイザーであるHyper-Vに対応したLinux Integration Servicesのバージョン3.2をリリースした。このバージョンは2011年7月にリリースされ…
November 30th, 2011
2009年から始まった最初の正式リリース以来、Virtual Session Indexer(VSI)は独立系のベンチマークツールとして徐々に人気を高めてきた。VSIツールを利用するプロジェクトの1つがP…
November 22nd, 2011
VMware社がApple Mac用デスクトップ仮想化プラットフォームであるFusionのバージョン4.1をリリースした。このリリースは2011年9月にリリースされたバージョン4.0のマイナーアップグレ…
November 22nd, 2011
VMware社は9月、仮想化プラットフォームであるWorkstation 8.0の新しい主要バージョンをリリースし、10月にはPlayer 4.0をリリースした。そして今回、VMware社は仮想化プラット…
November 18th, 2011
VMware社がアプリケーション仮想化ソリューションであるThinAppバージョン4.7をリリースした。このバージョンでは、サービスとしてのソフトウェア(SaaS)アプリケーションカタログ製品で201…
November 18th, 2011
パフォーマンス/キャパシティ管理製品プロバイダーのVKernel社がQuest Software社による買収を発表した。VKernel社はQuest社の独立子会社として運営されることになる。
VKerne…
November 17th, 2011
Lanamark社がキャパシティプラニングプラットフォームであるSuiteの新バージョンをリリースした。同バージョンは2010年3月にリリースされたバージョン2010の後継。
Suite 2012には以下…
November 16th, 2011
Oracle社は2010年11月、Solaris 11 Expressのリリースを開始し、この開発バージョンは先週のOracle Solaris 11のリリースへとつながった。SolarisはOracle社が…
November 11th, 2011
Pano Logic社がVirtual Desktop Infrastructure(VDI)プラットフォームであるPano System Version 5のリリースを発表した。このバージョンは2011年4月に…
Copyright © 2003-2011 virtualization.info. All rights reserved.
virtualization.info | cloudcomputing.info | virtualization.tv | Virtualization Congress