クラウド構築のベースとなるVMware vSphere 5を試す【vShield編】
vSphere 5/4.1/4(Update1)では、仮想マシンやサーバーのセキュリティを高めるために、vShieldファミリといわれるセキュリティソフトウェア群が提供されるようになった。そのラインアップとしては、仮想マシンにファイアウォールの機能を提供するvShield Zones、vShield Zonesの機能を強化したvShield App、仮想マシングループに対するゲートウェイ機能を提供するvShield Edge、ウイルス対策機能を提供するvShield Endpoint、vShieldファミリの機能を管理するvShield Managerなどが用意されている。
今回は、これらのセキュリティ製品を紹介し、使用感をお届けする。
■vShield Zonesの機能は?
仮想マシン用のファイアウォールであるvShield Zonesでは、仮想マシン間のトラフィックに対するセキュリティ機能が搭載されており、ネットワーク、ポート番号、プロトコルタイプ(TCP、UDP)、アプリケーションのタイプによって、動的にファイアウォールをコントロールできる。例えば、FTP、Sun RPC(Remote Procedure Call)、Microsoft RPCなどのプロトコルを認識して対応する。
また、送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート、プロトコル(5tuple)などフィルタリングし、グループ化することも可能だ。
vShield Zonesは、基本的なファイアウォール機能を持っているため、細分化をあまり必要としないセキュリティなら、十分対応できるだろう。
なお、インストールと管理はホストごとに行われる。つまり、仮想データセンター全体で一括してコントロールすることはできない。
その代わりvShield Zonesは、vSphere 5のEnterprise Edition、Enterprise Plus Editionに標準で含まれている。このため、ほかのvShieldファミリのように、追加のライセンスは必要ない。
より高度なファイアウォールを必要とする場合は、後述するvShield AppにアップグレードすればOKだ。
■vShield Appの機能は?
vShield Appは、ローダブルカーネルモジュール(LKM)としてハイパーバイザー上に展開される。仮想データセンターを単位としたファイアウォールとして機能するので、管理も仮想データセンター単位で行える。
実際の動作としては、仮想NIC(vNIC)レベルで送受信を制御し、マルチホームの仮想マシンをサポートする。接続制御は、ネットワーク、アプリケーションポート、プロトコルタイプ(TCP/UDP)、アプリケーションタイプで行い、パスワード・スニフィング、DHCPスヌーピング、ARP偽装/ポイゾニング攻撃などからシステムを保護する。
さらにフローの監視機能も用意されている。この機能を利用すれば、アプリケーショントラフィック(アプリケーション、セッション数、バイト数)の詳細なレポートが作成でき、仮想マシン間のネットワークの状態を確認して、ファイアウォールポリシーの定義と変更、ボットネット攻撃の特定、ビジネスプロセスの保護を実現している。
また、業務に関連する仮想マシンをグループ化して、セキュリティグループを構成できる。
ポリシー管理としては、仮想アプライアンスになっているvShield Managerを経由して一括管理する仕組み。vShieldファミリは、vCenter Serverのプラグインとしてユーザーインターフェイスが提供されており、vCenter Serverから一括して管理可能。具体的には、セキュリティグループ、vCenterグループ、5-tuple(送信元 IP、送信先 IP、送信元ポート、送信先ポート、プロトコル)などへにポリシーが適用できる。
なおvShield Appには、vShield App with Data Securityという仮想アプライアンスも用意されている。この仮想アプライアンスは、ネットワークベースの攻撃から仮想データセンター内のアプリケーションを保護する役割を持つ。vShield App with Data Securityを利用するには、vShield Endpointが必要になる。
 |
| vShield Appは、仮想データセンターをまたぐ、統合したファイアウォールなどのセキュリティ機能を提供する |
■vShield Edgeの機能は?
vShield Edgeは、Webロードバランシング機能、ファイアウォール、VPN、Webロードバランサー、NAT、DHCPサービスなどを提供する仮想アプライアイアンスだ。vShield Edgeで保護する仮想マシン群と、信頼できない外部ネットワーク間にエッジ(境界)を作成し、ネットワークリソースを安全に共有できるようにしている。
また、ネットワークゲートウェイのトラフィックに対する詳細な管理が行えるほか、VPNサービスを使用して、仮想データセンター間の通信の機密性と整合性を保護する機能を搭載。この機能により、マルチテナントのクラウド、グループ企業内プライベートクラウドなどを安全に運用できるという。
ファイアウォールについては、ステートフルインスペクションファイアウォール機能を提供し、IPアドレス、ポート、プロトコル別に送受信ルールを作成してアクセスを制御している。
 |  |  |
| vShield Edgeは、vNetwork Distributed Switch(vDS)のポートに接続したネットワークセキュリティを提供する。vDSに接続されているため、仮想マシンがVMotionでホストを移動しても、一貫したセキュリティが提供される | VPNを使った安全な仮想マシンへのアクセスを実現 | ロードバランシング機能も提供されている |
■vShield Endpointの機能は?
vShield Endpointでは、仮想データセンター上に配置される仮想マシンにウイルス対策機能を提供する。
従来の手法では、仮想マシンそれぞれにウイルス対策ソフトをインストールし、それぞれの仮想マシンで独自にウイルス対策ソフトが動作するため、複数の仮想マシンで同じ時間帯にウイルススキャンが動作すると、I/Oに対する負荷が高まり、ウイルス対策ソフトが原因で仮想データセンター全体のパフォーマンスが低下することになる。
そこでvShield Endpointでは、ウイルス対策のエンジン部分をvShield Endpointの仮想アプライアンスに統合した。このため、個々の仮想マシンにウイルス対策ソフトをインストールする必要がなくなり、すべての処理は、個々の仮想マシンではなく、vShield Endpointの仮想アプライアンスが行うようになる。またファイルのスキャンだけでなく、メモリやプロセスへのスキャン機能も提供されている。
なおvShield Endpointは、仮想データセンター全体にわたるウイルス対策のフレームワークといったものになるため、実際にウイルス対策機能を利用するには、vShield Endpoint以外に、サードパーティがリリースしているvShield Endpoint対応のウイルス対策ソフト(仮想アプライアンス)が必要になる。
仮想マシン側からは同一のAPIを利用するため、エージェントはVMware Toolsに統合されている。このため、仮想マシンごとにエージェントをインストールするなどの作業は必要なくなる。エージェントのアップデートは、VMwareがVMware Toolsのアップデートと一緒に行う。
現在、vShield Endpoint対応のウイルス対策ソフトとしては、トレンドマイクロのTrend Micro Deep Security、BitdefenderのSecurity for Virtualized Environments by Bitdefenderなどが用意されている。
vShield Endpointのソリューションがまだ少ないのは、vShield EndpointのAPIを利用するためには、VMwareと高度なパートナー契約を必要するためだ。
vShield Endpointは、ハイパーバイザーにセキュリティ的に認められた穴(ホール)を意図的に空けるため、APIを一般に公開すればハイパーバイザーのセキュリティが危うくなる。このため、vShield Endpointを利用するウイルス対策ソフトを開発するサードパーティは、ある程度制限されてしまう。
一方、セキュリティベンダーからすれば、vShield EndpointはvSphereだけのソリューションとなることから、どのくらいの市場が存在するのか未知数だ。そのためいくつかのセキュリティベンダーでは、個々の仮想マシンに専用エージェントをインストールし、ウイルス対策エンジンを搭載した仮想アプライアンスを用意することで、vSphereだけでなく、Hyper-VやKVMなどのハイパーバイザーも視野にいれ、より大きな市場をターゲットにしている。
 |
| vShield Endpointは、ハイパーバイザーレベルにウイルス対策のスキャン機能を追加する。ウイルス対策のエンジンは、仮想アプライアンスで提供される |
■vShield Manager
vShield Zone、vShield App、vShield Edge、vShield EndpointなどのvShieldファミリすべての管理を行うのが、vShield Managerだ。
vShield Managerも仮想アプライアンスとして提供されており、複雑なインストール作業は必要ない。OSとアプリケーションが入った仮想マシンを展開し、起動するだけでよく。最低限必要なIPアドレスなどを設定すれば、後のコントロールはvCenter Serverから行うことができる。
■vShieldファミリを試す
 |  |  |
| 今回は、vShieldファミリの試用版でテストした。vShield ManagerのOVFを取り込み、仮想アプライアンスを起動 | vShield Manager 仮想アプライアンスのIPアドレスなどのネットワーク設定を行う | ブラウザでvShield ManagerのIPアドレスにアクセス。初期設定では、ユーザー名がadmin、パスワードがdefaultになっている |
 |  |  |
| vShield managerの設定画面。ネットワーク関連の設定などがある。重要なのは、vSphere Plug-inだ。vSphere Plug-inをRegisterすることで、vCenter ServerにvShield Managerのプラグインが追加される | vCenter ServerにvShieldという項目が追加されている | vCenter ServerからvShield Managerにアクセスすることができる |
 |  |  |
| vCenter ServerからvShieldファミリをインストールすることができる | vShield ManagerでvShield App、vShield Endpointをインストール。vShield App for Data Securityは、vShield Endpointインストール後でないと、インストールできない | vShield Appをインストールすると、自動的にvShieldベースのファイアウォールが起動する |
 |  |  |
| vShield App for Data Securityのインストール。IPアドレス、データストアー名、管理ポートグループ名などを設定すればOK | vShield ManagerにvShield App for Data Securityが追加されていることが分かる | vShield Managerでは、フロー制御のモニターも行える |
 |  |  |
| ホストごとにセキュリティ環境を確認することも可能 | ファイアウォールで、どのアプリケーションの通信を許可するのか、設定できる | L2、L3レベルのファイアウォールも設定できる |
 |  | |
| vShield Endpointの状態を表示 | vSphere 5のNICや仮想スイッチの状態を表示 |
■便利だがコスト面で課題が
実際にvShieldファミリをインストールして、使ってみると、vShieldの便利さがよくわかる。今までは、仮想マシンにさまざまなセキュリティソフトをインストールしていたため、個々の仮想マシンの負荷が高くなっていた。特に、ウイルス対策のスキャンなどは、仮想ディスクへの負荷が高いので、それぞれの仮想マシンで個別に動かすと、仮想データセンター全体で負荷が高まっていた。
vShieldファミリを利用すれば、多くの処理を専用の仮想アプライアンスで行えるし、ハイパーバイザー上にファイアフォールやウイルス対策の機能を搭載することで、個々の仮想マシンの負荷が小さくなる。仮想データセンター全体で見たときにも、仮想データセンター全体でセキュリティを行うため、負荷が小さくなる。
しかしvShieldファミリを使うと、仮想データセンター全体ではコスト増となる。確かに、何らかのセキュリティソリューションは必要となるため、そのコストは必要になるが、vShieldファミリは、3年間のベーシックサポート付きで168万5000円で販売されている(VMwareの米国オンラインサイト)。これは25台までのライセンスとなるため、1仮想マシンあたり年間約2万2467円となる。
1仮想マシンで見れば、それほどの金額ではないように感じるものの、仮想マシンごとにコストがかかるため、集約率がアップするほど、vShieldファミリのコストがアップしていく。グループ企業などのサーバーを集めたプライベートクラウドなどを運営していく場合は、コストアップに注意が必要になる。
また、vShieldファミリは、vSphere専用のセキュリティソリューションとなっている。このため、前述しように、vShieldに対応したサードパーティのセキュリティソリューションは数社しかない。ユーザーによっては、現在使用しているセキュリティソリューションが、vShieldフレームワーク上では利用できないことになる。そうしたケースでは、vShieldファミリへ移行するのか、今までのように個々の仮想マシンにセキュリティソフトをインストールするのかを選ばないといけないわけだ。
確かにvShieldファミリは、優れたフレームワークだが、本格的に企業が利用するには、サードパーティから多数のセキュリティソフトがリリースされ、価格面がこなれてこないと難しいだろう。
次回はvSphere 5の最終回として、vSphere 5のライセンスを紹介していきたいと思う。