仮想化環境のセキュリティ対策について
前回は、仮想環境における管理ミスに起因するセキュリティリスクについて、お話しましたが、今回はその対策について考えてみたいと思います。
仮想環境においても、従来のセキュリティソリューションの殆どが適用可能ですが、仮想環境特有の課題もいくつかあります。従来のセキュリティ対策製品は、アプライアンス型、あるいはソフトウェアタイプに分類されますが、アプライアンス型の対策製品を仮想環境の保護の為に導入した場合、物理ネットワークからの攻撃については保護が可能ですが、仮想ネットワーク上のゲストOS間の通信については保護できないという問題があります。また仮想化によるシステム統合が進むにつれて、個々の物理サーバのネットワークトラフィック量が増大化し、いずれネットワーク上での監視は、パフォーマンス的に困難になってくると思われます。
それではソフトウェアベースのソリューションはどうかというと、物理サーバと比較して全てのマシンに導入して、最新の状態に保つことはより困難になると思われます。物理環境と比較して、仮想環境ではマシンを簡単に構築する事ができる為、いつの間にか管理外の新しいマシンが構築されているということも珍しくありません。またホスト型の対策製品は、物理マシン上でCPU使用率が5-50%といわれており、仮想環境に導入する場合、リソース不足が懸念されます。また新しい攻撃に対応する為に、新しいパターンファイルやシグネチャが頻繁にリリースされますが、その際のネットワーク負荷及びシステム負荷も問題となってきます。更には、過去のスナップショットに戻されたり、アップデート時にマシンが稼動されてたりと、最新のアップデートが適用されない状況により陥りやすいと思います。
このような課題を解決する為、注目されているのが仮想アプライアンスです。仮想アプライアンスとは、仮想スイッチ、あるいは仮想マシンとして提供されるアプライアンスの事です。仮想ネットワーク上に設置される為、ゲストOS間の通信も監視することが可能です。通常のアプライアンス製品と同様に、個々のゲストOSに手を加えることなく導入が可能で、アップデートも個々の保護対象ではなく、アプライアンス自体に適用すれば良い為、負荷の問題も解決できます。
VMware社のマーケットプレイスにて紹介されている仮想アプライアンスで、セキュリティのカテゴリで検索すると、認定製品だけで既に30種類以上あります。今後仮想化の普及が進むにつれて、更に多くの仮想アプライアンス製品が登場してくるのではないかと思います。
http://www.vmware.com/appliances/directory/cat/47/title+asc