2023/10/18 Japan VMUG vExpert が語る #30 @IrieMasahiro 今だからこそ vSphere Security Configuration and Hardening Guide

自己紹介 入江 正博 @IrieMasahiro • ヴイエムウェア株式会社 テクニカルアダプション マネージャー • Japan VMUG • vExpert 2019-2023 • この名乗りも今月一杯まで 来月からは…？

免責事項 ● 本発表内容は発表者個人の調査、検証に基づく見解であり、 所属する会社、組織、及び、その関係者の見解と完全に一致 するものではありません。

ESXi をターゲットとした攻撃が増加

ESXiを完全に保護するソリューションってある？ ● いわゆる『銀の弾丸』はない ● 仮想マシン(ワークロード)に対しては DFW、ATP、IDPS、NDR/EDR と色々あるが… ● ESXi 自体を保護ソリューションはまだない(はず) Deployment of 3rd Party Agents and Anti-virus software on the ESXi Hyperviso (80768) https://kb.vmware.com/s/article/80768

近年の傾向 → 侵入を前提とした対策？ ● Immutable Backup ● Cloud Disaster Recovery

そうは言っても ● 悪いことされないようにしておきたい ● 新しい製品やサービスの導入にはお金や時間が ○ 運用への影響も発生しがち ● セキュリティ案件は降ってくるときは待ったなし ○ 報道されるような脆弱性が出ようものなら 偉い人から「ウチは大丈夫か？」と ● 管理者が日常レベルでできそうなことからやっておく ○ 本格的なものは組織的・計画的に

日常レベルでできそうなこと VMware vSphere Security Configuration and Hardening Guide https://core.vmware.com/security-configuration-guide

vSphere Security Configuration and Hardening Guide ● vSphere 自身のセキュリティを監査し、 強靭化するためのガイドライン ○ ガイダンス PDF ○ 項目毎に考慮事項や解説、重要度、推奨値の一覧 Excel ■ System Design / Hardware / Controls ● 設計やハードはいきなり変えられないが、設定なら内容次第では ● vSphere 4.0 から存在している歴史あるドキュメント ○ Hardening Guide と言えばお馴染みな人も ● 全編英語…

|￣￣￣￣￣￣￣￣| | ここで実物登場 | |＿＿＿＿＿＿＿＿| ∧∧ || ( ﾟдﾟ)|| / づΦ

● Aria Operations (旧 vROps)で評価可能です チェックするのが大変なのですが… 最適化 → コンプライアンス の下 ※ 8.6 の場合

Aria Operations で評価 SCG に沿った指摘が出てくる

● vSphere 8 (8.0.2 から？)版には vCenter/ESXi/仮想マ シンを監査してくれるスクリプトが同梱 Aria Operations 持っていないんですが…

スクリプトは vSphere 7 でも動くか？ ● スクリプトなので改造してみるも一部の cmdlet が vSphere 7 に非互換で完走できず… 誤自宅に vSphere 8 がある人が試した様子をブログ記事にしてくれるはず… (私は持ってないので頓挫)

まとめ ● vSphere Security Configuration and Hardening Guide を使ったセキュリティ評価、見直し ● まずは設定値から、中長期や次期構築時には設計思 想や HW の見直しにも ● 完璧なセキュリティ対策は現実的には困難 大事なことはリスクの評価と管理 ● ちなみに個人的には ESXi ログインレス (ロックダウン)運用をおすすめ

ご参考までに [TAM Blog] ランサムウェアの脅威から仮想化基盤を守るには https://blogs.vmware.com/vmware-japan/2021/10/tam-blog-ransomware-resiliency.html

EOP