仮想セキュリティスイッチ

Software Ethernet switch with embedded security controls

仮想セキュリティスイッチは、 VMware vSphere、Citrix XenDesktop、Microsoft Hyper-V、Virtual Ironなどの仮想環境内で動作する、セキュリティ制御機能を内蔵したソフトウェアイーサネットスイッチです。仮想セキュリティスイッチの主な目的は、仮想マシン間の分離、制御、コンテンツ検査などのセキュリティ対策を提供することです。

エンタープライズ サーバー環境における仮想マシンは2005年に普及し始め、企業がサーバーやアプリケーションを導入する際の標準として急速に普及し始めました。これらのサーバーを仮想環境に導入するには、仮想ネットワークを構築する必要がありました。そこで、VMwareなどの企業は仮想スイッチと呼ばれるリソースを開発しました。仮想スイッチの目的は、仮想環境内でネットワーク接続を提供することで、仮想マシンとアプリケーションが物理ネットワークだけでなく仮想ネットワーク内でも通信できるようにすることです。

この仮想ネットワークの概念は、仮想環境内のセキュリティに関連して、環境内に仮想スイッチング技術しかなく、セキュリティ技術がなかったために、多くの問題を引き起こしました。アクセス制御リスト（ACL）、ファイアウォール、ウイルス対策ゲートウェイ、侵入防止デバイスを備えたスイッチを備えた物理ネットワークとは異なり、仮想ネットワークは完全にオープンでした。仮想セキュリティスイッチの概念は、スイッチングとセキュリティが連携し、セキュリティ制御を仮想スイッチ内に配置することで、仮想環境内でポートごとの検査と分離を可能にするものです。この概念により、エンドポイント（ホストベースの仮想マシン）自体にセキュリティを常駐させることなく、保護対象のエンドポイントに可能な限り近づけてセキュリティを実現できました。

仮想マシンにホストベースのセキュリティ ソリューションを導入する必要がなくなるため、仮想環境内にセキュリティを導入する際に、パフォーマンスを大幅に向上させることができます。これは、仮想マシンがコンピューティング リソース ( CPU時間、メモリ、ディスク領域など) を共有するのに対し、物理サーバーは専用のリソースを持つためです。これを理解する方法の 1 つは、デュアル CPU サーバーで 20 台の仮想マシンが実行され、各仮想サーバーで独自のホストベースのファイアウォールが実行されていることを想像することです。この場合、20 台の仮想マシンが使用しているのと同じリソースを使用するファイアウォールが 20 台存在することになります。これでは、これらのリソースをセキュリティ アプリケーションではなく仮想サーバーに適用するという仮想化の目的に反します。仮想環境内でセキュリティを集中的に導入することは、ある意味では 1 台のファイアウォールと 20 台のファイアウォールを比較することになります。

制限事項

スイッチは単一のブロードキャストドメインを形成するレイヤー2デバイスであるため、仮想セキュリティスイッチだけでは、多層物理ネットワークで一般的に採用されているネットワークのセグメンテーションと分離を完全に再現することはできません。この制限に対処するため、多くのネットワーク、セキュリティ、仮想化ベンダーが、仮想ネットワークでより堅牢なセキュリティとネットワーク構成ソリューションを提供できるよう、仮想ファイアウォール、仮想ルーター、その他のネットワークデバイスの提供を開始しています。

問題の例

仮想マシンは、本質的にオペレーティングシステムとアプリケーションが単一のファイル（ディスクイメージと呼ばれる）にパッケージ化されているため、よりモバイル性が高くなっています。歴史上初めて、サーバーをピアツーピアネットワークで共有されるMP3ファイルのように、移動、交換、共有できるようになりました。 管理者は、インターネット経由でプリインストールされた仮想サーバーをダウンロードすることで、新規サーバーの導入時間を短縮できます。これらの仮想ディスクイメージにはオペレーティングシステムとアプリケーションがプリインストールされているため、管理者が時間のかかるソフトウェアインストールプロセスを実行する必要はもうありません。これらは仮想アプライアンスです。

サーバーイメージのモビリティが高まった結果、サーバー全体が感染し、無防備な状態で拡散してしまうという潜在的な問題が生じています。ThoughtPolice.co.ukのようなウェブサイトから最新のFedora Linux Serverをダウンロードしてインストールした後、そのサーバーにトロイの木馬が潜んでいて、仮想ネットワークがダウンしてしまうことを想像してみてください。これは壊滅的な事態を招く可能性があります。

仮想サーバーのイメージをダウンロードする際には、信頼性の要素を考慮する必要がありますが、

仮想セキュリティスイッチのコンセプトは、仮想マシン間の分離とセキュリティ監視を提供することで、信頼の決定を監視するというものです。仮想セキュリティスイッチは、仮想マシン同士を分離し、相互に許可される通信の種類を制限するだけでなく、悪意のあるコンテンツの拡散やサービス拒否攻撃を監視することもできます。

歴史

Reflex Securityは、業界初の10ギガビット ネットワーク セキュリティ スイッチを発表しました。このスイッチは、接続された物理サーバー80台をサポートできるポート密度を備えています。[ ^1] 2008年、Vyattaは、ハイパーバイザー内およびハイパーバイザー間でルーティング、ファイアウォール、ネットワーク アドレス変換(NAT)、動的ホスト構成、仮想プライベート ネットワーク(VPN) などのレイヤー3サービスを提供するように設計されたオープンソース ネットワーク オペレーティングシステムの出荷を開始しました。それ以来、VMware、Cisco、Juniperなどが、レイヤー2およびレイヤー3のスイッチングとルーティングを組み込んだ仮想ネットワーク セキュリティ製品^{[ which? ]を出荷してきました。}

参考文献

1. 「Reflex MG10 ネットワークセキュリティシステム」(PDF) . Reflex Security. 2007年7月.

さらに読む

• ハンディ、アレックス（2012年5月21日）「仮想化：もはや機械だけのものではない」SD Times、BZ Media。
• 「製品のセキュリティ強化」vmware.com . VMWare . 2016年7月6日閲覧。
• Greene, Tim (2008年1月8日). 「ファイアウォールによる仮想サーバー保護には欠けているオプション」. Network World . IDG .

Retrieved from "https://en.wikipedia.org/w/index.php?title=Virtual_security_switch&oldid=1311245577"