仮想化でセキュリティを改善できる10の方法

仮想化は、仮想環境の作成に使用されるプロセスの一種です。 ユーザーは、1台のコンピューターで複数のオペレーティングシステムを同時に実行できます。 これは、オペレーティングシステム、サーバー、ネットワークリソースなどの仮想（実際ではなく）バージョンの作成です。 多くの企業にとって、仮想化はIT環境の全体的なトレンドの一部と見なすことができ、認識されたアクティビティとユーティリティコンピューティングに基づいて自身を管理できるようになります。 仮想化の最も重要な目標は、スケーラビリティとワークロードを改善しながら管理タスクを削減することです。 ただし、仮想化はセキュリティの向上にも使用できます。 リスクを最小限に抑え、セキュリティを改善して仮想化のメリットを最大限に活用するための10のヒントを以下に示します。

仮想化とセキュリティ

多くの組織は、新しいテクノロジを展開した後のセキュリティへの影響について考えています。 仮想化には多くの利点があり、ITアーキテクチャへの販売が容易になります。 仮想化は、ビジネスに影響を与えたり中断を引き起こしたりすることなく、費用を節約し、ビジネスの効率を高め、メンテナンス中のダウンタイムを短縮し、少ない機器でより多くの作業を実行できます。 もちろん、ネットワーク仮想化、ストレージ仮想化、サーバー仮想化、デスクトップ仮想化を使用して、ITセクターで仮想化を実装する方法は多数あります。 各タイプには、何らかのセキュリティリスクが含まれる場合があります。 仮想化タイプには多くのソリューションがあります。 重要なことは、仮想化によりセキュリティを向上できるが、すべての攻撃を防ぐ機能がないことです。

仮想化はさまざまな方法で使用でき、各状況で適切なセキュリティ制御が必要です。 この記事では、仮想化を使用してWindows環境のセキュリティを強化する方法について説明します。

以下は、仮想化を使用してリスクを最小限に抑え、セキュリティを向上させるいくつかの方法です。

サンドボックス

サンドボックスは、未検証のコードまたはプログラムを未検証の第三者、サプライヤー、およびWebサイトから実行するためによく使用される実行中のプログラムを分離するためのセキュリティメカニズムです。 サンドボックス化の主な目的は、外部のマルウェア、有害なウイルス、実行を停止するアプリケーションなどからアプリケーションを保護することにより、仮想化セキュリティを改善することです。不安定またはテストされていないアプリケーションがある場合は、仮想マシンに配置してシステムの他の部分には影響しないこと。

ブラウザで実行中にアプリケーションに悪意のある攻撃を受ける場合があるため、仮想マシンでプログラムを実行することを常にお勧めします。 サンドボックステクノロジーは仮想化と密接に関連しています。 バーチャルコンピューティングは、新しいマシンにプレミアム価格を支払うことなく、サンドボックスの利点の一部を提供します。 仮想マシンは、会社のLANではなくインターネットに接続しているため、オペレーティングシステムとプログラムをウイルスや仮想マシンへの有害な攻撃から保護します。

サーバー仮想化

サーバー仮想化は、サーバーリソースのマスキングであり、物理サーバーを小さな仮想サーバーに分割してリソースを最大化するのに役立ちます。 管理者は、物理サーバーを複数の仮想環境に分割します。 最近では、公式記録がハッカーによってサーバーから盗まれることがよくあります。 サーバー仮想化により、小規模な仮想サーバーは独自のオペレーティングシステムを実行し、互いに独立して再起動できます。 仮想化サーバーは、不安定なアプリケーションや侵害されたアプリケーションを特定および分離するために使用されます。

このタイプの仮想化は、低コストのWebホスティングサービスを提供するWebサーバーで主に使用されます。 サーバー使用率は、サーバーリソースの複雑な詳細を管理しながら、使用率を高め、容量を維持します。 仮想サーバーを使用すると、サーバー、仮想マシン、およびネットワーク全体を保護しながら、悪意のあるウイルスや損傷要素を簡単に検出できます。

サーバー仮想化を使用する利点は、x86ハードウェアとオペレーティングシステムの間にハードウェアアブストラクションレイヤーが作成されることです。 また、仮想サーバーの密度を物理サーバーハードウェアにまで減らします。 サーバーの仮想化により、サーバーのイメージが作成されるため、サーバーが異常に動作しているかどうかを簡単に判断できます。

ネットワーク仮想化

ネットワーク仮想化は、ハードウェアとソフトウェアのネットワークリソースの組み合わせであり、ネットワーク機能を単一の仮想ネットワークに結合します。 ネットワーク仮想化により、仮想ネットワークはシステムに感染する際のマルウェアの影響を最小限に抑えます。 ネットワーク仮想化は、基礎となるネットワークハードウェアから論理仮想ネットワークを作成し、仮想環境との統合を改善します。

ネットワーク仮想化の重要な機能は分離です。 個別に共存する複数の仮想ネットワークを動的に構成して、カスタマイズされたエンドツーエンドサービスをその場で展開できます。 これらは、インフラストラクチャプロバイダーから取得したネットワークリソースを共有および使用することにより、ユーザーの仮想ネットワーク上で管理されます。

ネットワーク仮想化のもう1つの主な機能は、ネットワークをサブネットワークに分割するセグメンテーションです。これは、ネットワーク内のローカルトラフィックを最小限に抑えてパフォーマンスを向上させ、外部から内部ネットワーク構造を見えなくすることでセキュリティを向上させるプロセスです。 ネットワーク仮想化は、複数の顧客にサービスを提供するソフトウェアアプリケーションの単一インスタンスを作成することにより、複雑な要件をサポートする仮想化インフラストラクチャを作成するためにも使用されます。

ハイパーバイザーセキュリティ

ハイパーバイザーという用語は、仮想マシンを作成して実行する小さなソフトウェアまたはハードウェアを意味します。 ハイパーバイザーを含むマシンは、ホストマシンと呼ばれます。 ハイパーバイザーセキュリティは、開発、実装、プロビジョニング、管理などのハイパーバイザーを使用して仮想化を可能にします。 （仮想化セキュリティ：VMハイパージャンプを防ぐためのヒントで詳細を確認してください。）

ハイパーバイザーに関するいくつかの重要なセキュリティの推奨事項があります。

• ベンダーがリリースしたハイパーバイザーの更新をインストールします。 ほとんどのハイパーバイザーにはソフトウェアの自動更新機能があり、見つかった場合は更新プログラムをインストールします。
• シンハイパーバイザーで保護します。これにより、最小限のコンピューティングオーバーヘッドで展開を簡単かつ効率的に実行できます。 また、ハイパーバイザーに到達する可能性のある悪意のあるコードによる攻撃の機会を減らします。
• 未使用の物理ハードウェアをホストシステムに接続したり、未使用のNICをネットワークに接続したりしないでください。 データのバックアップにディスクドライブが使用される場合があるため、未使用のデバイスは、バックアップにアクティブに使用されていない場合は切断する必要があります。
• ゲストOSとホストOSの間でファイル共有サービスまたはその他のサービスが必要ない場合は、不要なサービスを無効にします。
• ゲストOSが通信するには、ゲストOS間にセキュリティが必要です。 非仮想化環境は、ファイアウォール、ネットワークアプライアンスなどのセキュリティ制御で処理する必要があります。

デスクトップ仮想化

デスクトップ仮想化により、イメージの作成、変更、または削除が可能になり、デスクトップ環境とそれにアクセスするために使用される物理コンピューターが分離されます。 管理者は、従業員のコンピューターを簡単に管理し、不正アクセスやウイルスの侵入から保護できます。 デスクトップ環境用のゲストOSイメージを提供することでユーザーにより高いセキュリティを提供し、サーバー以外のディスクへのデータのコピーまたは保存を許可しないため、デスクトップ仮想化はネットワークのより安全なオプションになります。

インフラストラクチャセキュリティ

仮想化された情報インフラストラクチャにより、リソースへのアクセスを制御し、可視性を維持して適切な情報処理を確保できます。 コンピューティング環境内のすべてのアクティビティは、インフラストラクチャを通じて追跡する必要があります。

仮想スイッチ

仮想スイッチは、仮想マシン間で分離、制御、およびコンテンツ検査技術を使用してセキュリティを提供し、1つの仮想マシンが別の仮想マシンと通信できるようにするソフトウェアプログラムです。

スイッチ間リンク攻撃の実行は許可されません。 仮想スイッチの主な目的は、仮想ネットワーク内の仮想マシンおよびアプリケーションと物理ネットワーク間で通信するためのネットワーク接続を提供することです。

ゲストOSセキュリティ

これは仮想マシンのオペレーティングシステムであり、メインオペレーティングシステムをホストし、同じホスト上の他の仮想マシンとリソースを共有するために使用されます。 仮想化により、ネットワークディスクによって作成されたディスクまたはフォルダーを使用して、OSと情報を共有できます。 ゲストOSを体系的に更新する、仮想ドライブのバックアップを保持する、仮想化されていないコンピューターに同じポリシーを適用するなど、いくつかのセキュリティ機能が含まれています。

高可用性と災害復旧

最近、最も重要なことは、データとIT部門のサービスの可用性を保存することです。 仮想化は、データを大きな一意のファイルにバックアップすることにより、災害復旧の時間とコストを削減し、OSを再インストールしてデータを復元する時間を節約します。 これにより、電力要件を満たす任意のホストの仮想マシンを復元でき、物理的な障害から迅速に回復する機能も提供されます。

サーバー分離

仮想化では、主にビジネス目的でサーバー分離を使用します。 仮想化せずに1台の仮想マシンで複数のサーバーを実行できますが、単一のサーバー上に複数のサーバーがある場合はリスクがあります。 仮想化により、単一のマシンで複数のサーバーを実行しながら、サーバーを別々の仮想マシンで実行しているため、サーバーを互いに分離できます。