virtualization.info 日本語

virtualization.infoでは2年ほど前から何度もお伝えしてきたが、仮想インフラでセキュリティを実現する現行の取り組みは残念なところが多い。

整理統合された新しいセキュリティベンダー各社にとって現在可能な最善策は次の通りだ。

1. ファイアウォール、IDS、ウイルス対策などの従来のツールを仮想マシンに移す。
2. 仮想トラフィックが上述の仮想化されたセキュリティツール内や周辺を通過するよう、仮想インフラの管理者に仮想ネットワークの設定を見直させる。
3. 並はずれた新しいものをサポートする。　

だが、これらはどれも良くない。

1は、ハイパーバイザーレベルで仮想インフラ全体を監視できるものが導入可能であるにもかかわらず、同じツールのコピーを複数導入する必要がある（実際には仮想ネットワークの内容に依存するが、最悪の場合、ウイルス対策エージェントがVDI環境にあることを考えたい）ため非常に効率が悪い。また、これは物理資源を大量に無駄にする。

残念ながら、VMware社がVMsafe APIをリリースする（そしてベンダー各社が続く）までは、できることがあまりない。

2は仮想化が実現する機動力の前提を覆すため制約が多すぎる。管理者が保護された仮想マシンのライブマイグレーションを始めると、仮想ネットワーキングはたちまち混乱し、仮想化されたセキュリティツールは選択肢から外れてしまう。

VMware社では、この問題の緩和に取り組んでおり、VI 4.0では「vNetwork Distributed Switch」と呼ばれるものが導入され、ライブマイグレーション中も同じ仮想ネットワークコンフィギュレーションが維持される。
この技術は興味深いが、この問題の一部しか解決できないことは間違いない。

3は信頼性がかなり低い。ベンダーがどれほどコミットしても、同じ仮想ホスト上で同時に最大何台の仮想マシンが動作し、仮想化された製品のパフォーマンスにどのような影響があるのかを予測することは不可能だからだ。

リリースされたばかりのOVF標準を利用すれば、メタデータレイヤを介し、サービスレベル合意（SLA）といった各仮想マシンの具体的な特性を定義できるようになるが、本格的な普及にはほど遠い。

ソリューションとして考えられるのは以下だ（完全な詳細ではない）。

• 各仮想マシンをセキュリティレイヤでラッピング（「VMware ACE」、「Kidaro Workspaces」、および「Sentillion vThere」などの製品では既に以前から実現済み）し、そこで管理者が具体的なセキュリティポリシーを定義する。
• 各VMセキュリティラッパのポリシー要件を読み込み、その要件を満たすセキュリティ製品が接続されているかどうかハイパーバイザーに問い合わせるセキュリティコーディネーターの役割を果たす独立層（仮想化管理レイヤは候補者として不十分）を用意する。
• ハイパーバイザーに接続される複数のセキュリティ製品を用意し、セキュリティコーディネーターからの処理要求を待つ。

Altor Networks社では、説明を読む限り前述のアーキテクチャーを一部実現しているように思える「Virtual Firewall」を発表したばかりだ。

だが残念ながら、ネットで公開されている最も技術的に詳しいパンフレットを分析したところ、いくつか疑問点が浮かび上がった。

…Altor VFは仮想アプライアンスとして各仮想ホストにインストールされ、各VMゲストを往復するトラフィックを検査する。管理者らは、ソース／行き先／プロトコル別の許可／不許可、対応処理といった従来のファイアウォールルールをウェブベースの管理コンソールを使って定義し、集中管理する。ルールはすべてのVM、コネクティビティおよびセキュリティに関して同様のニーズを持つVMグループ（ウェブサーバなど）、あるいは1つのVMに適用することができる。これらのルールに基づいて作られたポリシーは、グローバル、グループ、そしてVM単位の各レベルで適用することができる。…

実際のところ、ほかのどの製品とも同じように、この製品も仮想ネットワークのコンフィギュレーションを見直す必要があり（VirtualCenterと連動する便利なセットアップによってプロセスが自動化されているかどうかは関係ない）、1台の仮想ホストに導入された1台の仮想アプライアンスのセキュリティポリシーを別の1台に複製し、それを別の仮想ホストに導入するようだ。
同社は、こうすることでライブマイグレーション時でも仮想マシンが保護されると主張している。

仮想ファイアウォールは常にVMに「結びついて」おり、VMotionのイベント時も一緒に行動する。これにより、ライブマイグレーションの前後そして途中でもセキュリティポリシーが継続的に適用される。同様に重要なこととして、Altorのソリューションは、移動させるVMのなかのすべてのアプリケーションの接続状態を維持する。

Altor Networks社はESX仮想マシン用セキュリティラッパの作成方法を本当に見つけ出したのだろうか？

ラベル: Altor Networks, Security