virtualization.info 日本語

Citrix社は先週初め、同社の「XenServer 5.5」ハイパーバイザーと「XenDesktop 4.0」VDIプラットフォームの両方がCommon Criteria認定の「Evaluation Assurance Level（EAL）2」を取得したことを発表した。

これはさい先の良いスタートではあるものの、Citrix社がほかの各種仮想化プラットフォームが達成したレベルに至るにはさらなる努力が必要だ。

• VMware VI 3.5（ESX 3.5 + VirtualCenter 2.5）はEAL4+を2010年2月に取得している（vSphere 4.0もEAL4+レベルの認定取得に向けて作業中）。
• Microsoft Windows Server 2008 Hyper-VもEAL4+を2009年8月に取得している。
• VMware VI 3（ESX 2.5 + VirtualCenter 1.2）はEAL4+を2008年6月に取得している。
• IBM POWER Virtualization EngineはEAL4+を2006年7月に取得している。

例のごとく、この認定値は特定のクラスのソリューションの機能性とセキュリティレベルを検証するために使用する「プロテクションプロファイル」参照モデルや、ベンダーが用意し、特定のソリューションのセキュリティ特性を解説するために使用する定義ドキュメントの「セキュリティターゲット」と比較したときに限り実際に意味を持つことに注意したい。

プロテクションプロファイルは業界団体によって用意されており、セキュリティターゲットはこれらの1つ以上をテンプレートとして利用する。
ハイパーバイザーや仮想インフラ用のプロテクションプロファイルはまだないので、仮想化ベンダーは制限もなく、提供される定義の認証も受けずに、自由にセキュリティターゲットを具体化させることができる。
これは認定が使いものにならないという意味ではないが、EALのランクだけで安全な製品を意味するということでもない。

最新情報： Citrix社がXenDesktop 4.0 Platinum Edition（Microsoft Windows Server 2003 SP2上で動作）の認証に利用したSecurity Targetがついにネット上で公開された。

Target of Evaluation（TOE）からは同スイートの多数のコンポーネントが排除されていることに注目したい。

• XenServer
• XenApp for Virtual Desktops
• Access Gateway
• Provisioning Services
• Workflow Studio
• Profile Managemen
• EdgeSight for Endpoint
• Repeater
• GoToAssist
• EasyCall

この影響はかなり大きく、Citrix社ではドキュメントのなかで以下のような詳細に言及している。

• サーバ側およびクライアント側のアプリケーション仮想化は含まれていない。評価には仮想デスクトップイメージに「焼き込まれた」アプリケーションだけが含まれる。
• デスクトップユーザ認証用のスマートカードサポートは評価に含まれるが、トークンは含まれない。
• 管理者はローカル周辺機器のサポートをグローバル・コントロールポリシー用にも個々のユーザやユーザグループ用にも有効／無効にすることができる。評価にはグローバル・コントロールポリシーを適用するものしか含まれない。
• デスクトップアプライアンスやWindows PC以外のクライアントデバイスは評価のUser Devicesとして含まれていない。
• デスクトップユーザが複数のデスクトップグループに属する機能は含まれていない。1人のデスクトップユーザは1つのデスクトップグループの1つの仮想デスクトップしか使うことができない。

では正確には何がテストされ、認証されるのだろうか？TOE Security Objectivesリストがそれを明確にしている。

• デスクトップユーザと管理者は、TOEへのアクセスを認める前にうまく特定と認証を行う必要がある。
• TOEサーバのコンポーネントは、UserdataやConfigdataをやりとりする前に自身をUser Devicesなどの各種サーバに認証させる必要がある。
• デスクトップユーザには許可を得た仮想デスクトップだけにアクセスを認める必要がある。
• 処理中やサーバ間転送中は、仮想デスクトップのセットアップと割り当てに必要なデータの機密性と整合性を維持する必要がある。
• 仮想デスクトップ上で処理中のUserdataは機密性と整合性を維持する必要がある。
• TOEコンポーネントはFIPS 140-2レベル1認証を受けた暗号化機能を検証状況に応じて呼び出す必要がある。
• Virtual Desktop Agentがデスクトップユーザのセッション中に仮想デスクトップを運用するために使うメモリの内容は、そのユーザのセッション完了時はほかのプロセスが使えないようにする必要がある。
• 仮想デスクトップは、基盤のOSやVirtual Desktop Agentが動作するハードウェアにユーザがアクセスできないよう管理者がコンフィギュレーションを行う必要がある。
• 管理者は許可されたデスクトップユーザによるUser Device資源の使用をコントロールできなくてはならない。そのなかには、仮想デスクトップとUser Device OSクリップボード間における情報のカット、コピー、およびペースト、（仮想デスクトップから）User Device上にあるローカルドライブへのアクセス、そして仮想デスクトップからUser Device上のローカルUSBデバイスへのアクセスが含まれる。
• サーバコンポーネントのOSは、適切なファイル保護など、（CCECGに応じて）安全なコンフィギュレーションにする必要がある。
• VM Hostソフトウェアは安全なコンフィギュレーションにする必要がある。
• 信頼できるサードパーティー製ソフトウェアは（CCECGに応じて）安全なコンフィギュレーションにする必要がある。信頼できるサードパーティーソフトウェアとは、Microsoft IIS（セキュアウェブサーバ）およびMicrosoft Windows（Terminal Servicesを含む）のようなものになる。
• デスクトップユーザと管理者は関連プラットフォーム上の基盤OSにより認証を行う必要がある。
• OSの認証要件は運用環境のリスクに応じてコンフィギュレーションが行われる。
• TOEサーバ間（Desktop Delivery ControllerとVM Host間のコミュニケーションは別）およびVirtual Desktop AgentsとUser Device Citrixオンラインプラグイン間のすべてのコミュニケーションは構成済みのIPSecプロトコルを利用する。これは、これらのサーバがIPSecプロトコルを使うよう管理者が設定することで可能になる。
• Web InterfaceとUser Device（ウェブブラウザもしくはCitrix社のオンラインプラグイン）の間、そしてDesktop Delivery ControllerとVM Hostの間のすべてのコミュニケーションは構成済みのTLSプロトコルを利用する。
• User Device OSは、適切なファイル保護を含め、（CCECGに従って）セキュリティを確保しながらコンフィギュレーションを行う必要がある。
• User Devicesは仮想デスクトップからユーザがログアウトしたあとデスクトップユーザ認証証明とユーザデータがメモリに残らないようコンフィギュレーションを行う必要がある。
• IPSecとTLSを実現するために使用するセキュア暗号技術モジュールはFIPS 140-2のレベル1に準拠する必要がある。これはつまり、TOEが使用する環境内のソフトウェアはFIPS140-2レベル1に認証されたアルゴリズムしか使わないようコンフィギュレーションを行う必要があることを意味する。
• 生成され、TOEの外に格納されたすべてのキーや各種機密データはリスクレベルに応じて管理する必要がある。
• 運用環境はTOEサーバを物理的に保護し、管理者だけにサーバへの物理アクセスを保証する。
• User Devicesは信頼できるサードパーティーソフトウェアだけをインストールする必要がある。このソフトウェアは運用環境のリスクに応じて安全にコンフィギュレーションを行う。
• データストアなど、TOEの外に格納されたConfigdataは、管理者だけにアクセスを許可する。

The Security Target for XenServer 5.6 Platinum Editionはこちらの方にある。
こちらもTOEから重要な事項がいくつか抜けている。