ネットワーク機器の仮想化に伴うリスクと対策は?
»
ネットワーク機器を仮想化することによるメリットは非常に大きい。性能が足りなくなれば、より多くの計算リソース(プロセッサやメモリ)を動的に追加したり、ホットマイグレーション(過去のエントリで書いた)によって、物理的なハードウェアの増強(機器を追加して結線する)と比較すると、より大きなリソースをかなり短時間で増強することができる。また、物理的なハードウェアと比較すると冗長化もやりやすいだろう。
ネットワーク機器を仮想化すれば、動的なリソース追加やネットワーク自体(レイヤ3でいえば新たなサブネットやレイヤ2でいえば新たなセグメントの追加)を追加することも物理的なハードウェアを伴うネットワーク機器と比較すると簡単にできる。詳細は、以下のTechTargetジャパンの記事でも紹介されている。
しかしながらネットワーク機器を仮想化することによりセキュリティ面では、より多くの問題を抱える可能性が増える。仮想化ソフトウェアの脆弱性を突かれて、意図しない新たなネットワーク機器を作成されてしまうとダメージが大きい。中継機器を作成されると全ての通信を傍受されたり、意図しない相手にデータを盗まれたりする等、枚挙にいとまがない。他にも特定のネットワーク機器に割り当てるリソースを極端に小さくして、性能を下げる等の妨害も考えられる。
主要なポイントで物理的なハードウェアで構成される専用のネットワーク機器、負荷分散等は仮想化されたネットワーク機器で、というような攻撃された場合のリスクに応じて使い分けるのが対策になるのではないだろうか。リスクに応じて使い分けたとしても、全て仮想化されたネットワーク機器とできるようになってくるとデータセンタ自体の仮想化やネットワーク全体の仮想化が現実味を帯びてくるように思う。