仮想化に関するニュースダイジェストとその洞察 (Since 2003)

インフラのなかで最も危険にさらされているDMZの仮想化は必然だ。そして、ベンダーも遅かれ早かれ対応する必要があった。
VMware社は新しいベストプラクティスに関する9ページの解説を用意して最初に対応してきた。

リスクを十分に認識している限り、DMZの仮想化にデメリットはない。
仮想化最大のセキュリティリスクの1つが、異なるリスクレベルの仮想マシンを混在させることだ。だがこれは、どの仮想化の専門家もセキュリティレベルを考えず、パフォーマンスや物理リソースの最大限の活用を考慮してワークロードの整理統合を進めるため、会社が真っ先に、そして最も頻繁に犯すミスとなっている。

また、そこには複数の原因がある。会社にインフラの仮想化における具体的なリスクがまだ見えていないため、最大限のROIを目指してしまったり、仮想化の専門家に十分なセキュリティの知識がなかったり、単純に意識が欠如している可能性がある。

VMware社の白書は、このポイントを明確にする完ぺきな例だ。
この白書では、スクリーニングの行われた3つのサブネットを持つ複雑なDMZを仮想化する3種類のアプローチを紹介している。最初のものはセグメントごとに別々になった明らかに高価な仮想ホストを推奨しており、残りの2つは複数のセグメントを同じ仮想ホストに集約することを推奨している。

VMware社もほかの仮想化ベンダーも認めていないハイパーバイザーの不可侵（仮想ネットワーキングからカーネルへの全レベル）につながるため、最後の2つのアプローチはどうしても避ける必要がある。