IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

VMware 海外動向

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート 

第30回 vSphere 6.5 Update 1 Security Configuration Guideのお知らせ (野田貴子) 2018年5月

こんにちはー。野田貴子です。今回はサポート終了のお話です。皆さん、バージョンアップは済みましたでしょうか?

新バージョンを導入される前に、是非新バージョンの学習もお勧めします。

VMwareの研修を受けられる方は、『VMware Education Partner of the Year 2017』を2年連続で受賞しているCTC教育サービスにどうぞ!

※VMware研修コース https://www.school.ctc-g.co.jp/vmware/index.html

###

6.5 Update 1 Security Configuration Guide(SCG)が利用可能になったことをお知らせいたします。通常ならばガイドは番号付きリリースのときのみ新しくなり、アップデート版ではそのままですが、6.5 Update 1に実装されたセキュリティ更新プログラムの数が多かったため、今回新しいSCGがリリースされることになりました。また、vSphereに実装されるセキュリティ設定の簡易化における進捗状況をお伝えしたいと考えています。

この新ガイドおよび下に掲示したグラフによると、設定数が大幅に減少していることが分かります。これは6.5へのアップグレードを検討すべき大きな理由になっています。しかし、まずは、Security Configuration Guideについてよくある質問を確認してみましょう。

ガイドラインの一部が削除や変更されるのはなぜですか?

私はよくこのことについて質問されます。他のブログで理由について解説したことがありますが、こちらでも取り上げたいと思います。私が「vSphere Hardening Guide」を5.1の時点で引き継いだとき、これは手動で作成されたExcelのスプレッドシートでした。私は5.5に向けてこのスプレッドシートをきれいにするために尽力しましたが、Excelではとても扱いにくく、手に負えないものとなってしまいました。6.0が登場したとき、私はスプレッドシートの作成方法だけでなく、ガイド自体の作成方法を変更することにしました。セキュリティが重要になってきていましたので、ガイドの作成方法についてもより良い統制が必要でした。

6.0以降、SCGはすべての番号付きリリースの前に慎重にレビューされています。私はエンジニアと協力し、ソフトウェアエンジニアがコードレビューを行うのと同じ方法で、すべてのガイドラインに目を通しています。そのため、ガイドラインは頻繁に削除または変更されることになります。これは常にITとセキュリティ(主にセキュリティ)の観点によるものです。みなさんの見えないところで何が起こっているのかをお伝えしましょう。

ガイドから項目が削除される理由はいくつかあります。

  1. vSphereのコードはEngineeringによって常に見直され、ときどき変更が加えられることで危険が減り、もはや脅威ベクターとは見なされなくなります。
    ● 分かりやすい例ではかつての「disable-intervm-vmci」が挙げられます。これは多くのレビューを経てエンジニアリングが無効にし、5.5リリースのガイドから削除されました。
  2. 過去に追加されたガイドラインには、提案されていたものの実際には完全に実装あるいは提供されていなかったものがあります。これらのガイドラインは通常、提供されているコードをより正確に反映したものになるように、削除や修正がなされます。
    ● もう一つ大きな例として、「verify-kernel-modules」というガイドラインがあります。これは何年も前に、各モジュールやバイナリのデジタル署名の検証について説明しており、このガイドラインを満たすためにPowerCLIスクリプトが作成されていました。しかしデジタル署名されたVIBパッケージ内ですべてのモジュールとバイナリを提供することになったため、これはすべて変更されました。もはや各モジュールが署名される必要はなく、パッケージが入ってくるだけになりました。パッケージの内容を参照するメモリ内にファイルシステムを構築するので、パッケージ自体を検証するだけでパッケージ内のモジュールがうまくいくことが保証されるようになりました。残念ながら、このガイドラインは何世代かのリリースでこの変更を反映していませんでした。これは後にverify-acceptance-level-supportedに置き換わりました。注:Secure Bootを有効にした6.5で、デジタル署名されたVIBをレバレッジすると、どこが倍増したのかを確認できます。
  3. 実際の機能に基づいて記述されていたものの、その機能がセキュリティの点から誤解されていたガイドラインもありました。
    ●このようなガイドラインの1つがVM.disable-hgfsです。これは以前のバージョンのSCG / Hardening Guideで誤って攻撃ベクターと見なされていました。レビュープロセスの一環として行われたエンジニアとの多くの話し合により、この機能は実際にはホストされたプラットフォーム(Workstation / Fusion)でのみ活用され、ESXiでは実装されていないことが明らかになりました。

上記のできごとからみなさんに考慮していただきたいことの1つは、私たちvSphereチームはとても真剣にセキュリティを守ろうとしているということです。私たちはセキュリティの目標を達成するための工程をどんどん進めています。この作業速度は典型的なセキュリティガイダンスの速度よりも速いところが、通常とは異なると私は考えています。

私見:セキュリティガイダンスの作業が速いことによって、最も悩まされ、困惑させられ、不意を突かれているのは、セキュリティチームであることに気づきました。

注:別の場所でもvSphereのガイダンスを目にするかもしれませんが、よく見てみると、それらは古いガイダンスに基づいています。(例:バージョンが5.5であるとか!)vSphereの最新のセキュリティガイダンスが必要な場合は、SCGを使用してください。

結果

SCGのレビュープロセスは本当に成果を上げ始めています。以前のブログ記事で紹介した多くの設定が6.5のSCGレビューで取り上げられました。エンジニアリングとのレビューの際に、SCGに記載されている値と一致するようにデフォルト値を修正してもらうためのバグレポートをいくつか作成しました。これらの修正の多くは、Update 1に含まれています。このアップデートされたSCGには、これらの変更が組み込まれています。

これにより、VM.disable-unexposed-features.*設定の多くがESXiコードで修正されています。ESXi 6.5 updae 1だけでなく、ESXi 6.0Patch 5 and 5.5 update 3 patch 11でも修正されました。

  • ここで繰り返し述べておきたいことは、これらのガイドラインは、設定する値がないユーザーに向けて作成されていたということです。彼らは極めてセキュリティ意識が高く、「設定があるならば何か入力する必要があるのではないか」との意見をくれました。これらの設定を利用するコードはESXiにはありませんでした。これらの設定は、WorkstationやFusionなどのホステッド製品で使用されていた以前の共有コードから引き継がれていました。

vSphereをデプロイする際に初期設定で必要な作業量を引き続き削減しています。さらなる検討の一環として、追加で4つのVM.disable- *ガイドラインを必要がなくなったガイドラインとして整理しています。

Guideline ID Configuration Parameter
VM.disable-console-copy Isolation.tools.copy.disable
VM.disable-console-gui-options Isolation.tools.setGUIOptions.enable
VM.disable-console-paste Isolation.tools.paste.disable
VM.disable-hgfs Isolation.tools.hgfs.disable

これらの4つはデフォルトですべて無効になっています。もはや手動で設定する必要はありません!以前ESXiに格納されていた値は、「null」値でした。(値なし。)これらを明示的にTRUEに設定するようにしました。

Security Configuration Guideのクリーンアップ

デフォルト値が「安全」であると見なされた設定は、vSphere SCGの次の番号付きリリースで削除されます。

6.5へのUpdateリリースでは、これらのガイドラインは引き続きガイドに残りますが、「Desired Value」と「Actual Value」が同じになります。先述したように、これはVMごとに手動で設定する必要はないということです。これらの設定は、前後のバージョンとの継続性を維持するために、修正されたうえで6.5 U1 guideに残っています。

VMからこれらの設定をクリア/削除してからVMをvMotionするだけで、デフォルト値を取得することができます。

Hardening .vs. Non-Hardening

私は6.5 guideをリリースしたときにガイドの名前を「hardening guide」から「security configuration guide」に変更し、「強化」から「セキュリティ設定」に焦点を変えることについて話し合いました。6.5 Update 1では、「デフォルトで安全」の目標を継続しています。6.5から6.5 Update 1で何がどのように変化したのかを見てみましょう。

fig01fig02

(6.5での強化版設定と非強化版設定の数 / 6.5 Updaet 1での強化版設定と非強化版設定の数)

こちらに6.5から6.5 Update 1までの改善点を示します。

fig03fig04

(6.5では設定数24 / 6.5 Update 1では設定数10)

これまで見てきたように、6.5 Update 1では「デフォルトで安全」という目標を掲げています。初期設定でセキュリティ設定を改善するために必要なことが減り、セキュリティの運用がより簡単になりました。

6.5 Update 1 Security Configuration Guideをダウンロードする

6.5にアップグレードしましょう!

5.5がもうすぐ2018年9月にサポートを終了する予定です。6.5へのアップグレードの計画は後でではなく今すぐする必要が本当にありますよ。

●引用元 
https://blogs.vmware.com/vsphere/2018/03/announcing-vsphere-6-5-update-1-security-configuration-guide.html

※本コラムはVMware社が公式に発表しているものでなく、翻訳者が独自に意訳しているものです。

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート