VMware は、主力製品である vSphere プライベート クラウド スイート向けに、新しく、より厳重なセキュリティ構成ガイダンスを公開しました。
Virtzilla は数年間メジャーアップデートを実施せず、2020 年 10 月に vSphere 7.0 Update 1 がリリースされた直後にアップデートを公開しました。
VMware のテクニカル マーケティング アーキテクトである Bob Plankers 氏は本日、更新されたガイダンスを発表し、2020 年版では「vSphere 実装のあらゆる部分におけるベスト プラクティスについて、より明確に規定する機会を得た」と述べました。
「今日のアップデートはそれをさらに一歩進めたものだ」と彼は書いたが、VMwareが追加ガイダンスを決定した理由については言及しなかった。
The Registerで最も注目を集めたのは、Trusted Platform Module (TPM) を実行するサーバーのみを実行する時期が来たという非常に強い提案です。
マイクロソフトは、セキュアシリコンアーキテクチャPlutonのCPUにTrusted Platform Module機能を直接導入しました。
続きを読む
「TPM 2.0 は、VMware vSphere および ESXi から非常に高度なセキュリティを低コストで実現する方法であり、これなしで新しいハードウェアを購入すべきではないと強く感じています。」
TPM は一部のサーバーではまだオプションとして提供されており、デフォルトでは有効になっていません。vAdmins は注意してください。
もう一つの変更点は、管理、vMotion、vSANを分離するための制御です。プランカーズ氏は、この方法は「一種の『部族の知恵』として一般的に考えられてきた」と述べています。
「ついにこれを書き留めた」と彼は述べ、VMware はこれをハードウェアにも適用すべきだと考えていると付け加えた。その理由として、「Xclarity、iLO、iDRAC などの帯域外管理コントローラは素晴らしいが、攻撃者にチャンスを与えるような構成になってしまうこともある。システム設計の一環としてその点を考慮してもらいたい」としている。
PCIe バスは VMware のセキュリティ担当者の注意を引いた。セキュリティ担当者は、悪意のある人物が VM のアクセスを悪用してハードウェアに直接アクセスするのを防ぐために、バスへのパススルーをいつどのように許可するかについてのガイダンスを復活させた。
新しいガイドには、非推奨のコントロールのリストが追加されており、その中にはディスプレイ出力を VGA のみに制限するコントロールも含まれています。
「多くの最近のゲストOSはそれを好んでいません」とプランカーズ氏は書いている。「これは摩擦と混乱の原因となり、(弊社や他のOSへの)サポートへの問い合わせが急増する原因となっています。」
TPM 2.0はvSphereから非常に高度なセキュリティを安価に得る方法です
しかし、それだけでなく、最近のゲストOSは、希望するビデオモードに設定できない場合、何も表示されないことがあります。つまり、重要な診断情報が見逃されてしまう可能性があります。セキュリティはトレードオフであり、この制御によって得られるわずかなメリットは、制御によって発生する問題によって完全に相殺されてしまいます。もちろん、必要に応じてこの制御を使用することは可能ですが、一般的な用途には推奨しません。
完全なガイドはこちらをご覧ください。The Registerは、VMwareがvSphere 6.7のサポート期間を延長した一方で、バージョン6.5のサポートは2021年11月に終了するため、仮想化ソフトウェア業界はユーザーに最新版へのアップグレードを懇願しつつも執拗に勧めていることを指摘し、この点の重要性を指摘しています。最近のセキュリティガイドラインが2倍になったことを考慮すると、アップグレードには以前のプロジェクトよりも少し注意が必要になるでしょう。
VMware は本日、Accenture が自社の製品に特化した新しいビジネス グループを設立したことも発表しました。
「アクセンチュアVMwareビジネスグループは、両社による複数年にわたる数百万ドル規模の新たな投資です」と、定型的な声明で述べられています。アクセンチュアの従業員約2,000人が同グループに勤務し、その一部は、コンサルティング会社が得意とする「アセットとアクセラレーター」の構築に取り組むことになります。これは、サービス企業がプロジェクトを迅速に進めるための手段として常に提案する手法です。®
