過去の掲示を調べたのですが分からなかったので質問します。
現在VMware ESX 4.0 update1を利用して仮想サーバーを構築しています。
その際に、ウイルス対策ソフトをインストールしようと考えているのですが、
VMware ESXのホストOSへウイルス対策ソフトをインストールする場合は
Linuxに対応しているソフトをインストールすれば良いのでしょうか?
調べた限りだと、VMware ESXはRedHatのKernelを利用しているようでしたので
そのように思いました。
「ウチではこのソフトを使用している」
や
「そもそもウイルス対策は不要」
などご意見をいただければ幸いです。
以上、よろしくお願いします。
ESXの場合もESXiの場合もほぼ同じセキュリティ対策をすることになるのが一般的でしょう。
管理ネットワークを別にする方法と、GW型のIDS/IPSにて防御する方法です。
ESXの場合は、サービスコンソール向けの管理ネットワークをゲストOSやVMkernelと別々にすることができるため
サービスコンソールのネットワークの脅威が下がります。
もしそれでもどうにかしたい場合は、仮想アプライアンス等で提供されているIDS/IPSを活用するのが
広まり始めています。
今までは、物理アプライアンス等で提供されていた物が、最近仮想アプライアンスで提供されるように
なりはじめています。IBM ISSの製品、トレンドマイクロ Deep Security等。
サービスコンソールのないESXiはホストOSという概念もないので、よりセキュアに
使用できるのではないでしょうか。
man33taro 様
ご返信ありがとうございます。
>管理ネットワークを別にする方法と、GW型のIDS/IPSにて防御する方法です。
上記の内容は理解できました。
ただちょっと良く分かっていないのですが、管理ネットワークを別にできない場合、
ウイルス対策としてサービスコンソール(VMkernel)にウイルス対策ソフトを
インストールすることはできるのでしょうか?
それともVMkernelはLinuxに見えるだけでOSではないため、そのような対策は
不要なのでしょうか?
教えてください。よろしくお願いします。
VMkernel は完全に独自OSであり、汎用OSではないため、事実上アンチウィルスなどの
対策は基本的に不要です。
VMkernel自身がセキュリティ対策をされています。
ESX上で動作するサービスコンソールというESXへインタフェースを提供する仮想マシンは、Linuxベースで作成されています。
それも、多くのモジュールをなくしているため、一般的なアンチウィルスソフトを動かす事は事実上できません。
外部からのアタックから守るためには、VMkernelやサービスコンソールのネットワークの前に、FirewallやIDSやIPSをおくと
良いとおもいます。
man33taro 様
返信が遅くなりましたが、ご教授いただいた内容で理解できました。
FirewallやIDSやIPS等の機器で対策を行おうと思います。
ありがとうございました。