Re: VMware ESXのホストOSのウイルス対策

ydanno1982 · ‎03-04-2010

過去の掲示を調べたのですが分からなかったので質問します。

現在VMware ESX 4.0 update1を利用して仮想サーバーを構築しています。

その際に、ウイルス対策ソフトをインストールしようと考えているのですが、

VMware ESXのホストOSへウイルス対策ソフトをインストールする場合は

Linuxに対応しているソフトをインストールすれば良いのでしょうか？

調べた限りだと、VMware ESXはRedHatのKernelを利用しているようでしたので

そのように思いました。

「ウチではこのソフトを使用している」

や

「そもそもウイルス対策は不要」

などご意見をいただければ幸いです。

以上、よろしくお願いします。

man33taro · ‎03-07-2010

ESXの場合もESXiの場合もほぼ同じセキュリティ対策をすることになるのが一般的でしょう。

管理ネットワークを別にする方法と、GW型のIDS/IPSにて防御する方法です。

ESXの場合は、サービスコンソール向けの管理ネットワークをゲストOSやVMkernelと別々にすることができるため

サービスコンソールのネットワークの脅威が下がります。

もしそれでもどうにかしたい場合は、仮想アプライアンス等で提供されているIDS/IPSを活用するのが

広まり始めています。

今までは、物理アプライアンス等で提供されていた物が、最近仮想アプライアンスで提供されるように

なりはじめています。IBM ISSの製品、トレンドマイクロ Deep Security等。

サービスコンソールのないESXiはホストOSという概念もないので、よりセキュアに

使用できるのではないでしょうか。

ydanno1982 · ‎03-07-2010

man33taro 様

ご返信ありがとうございます。

＞管理ネットワークを別にする方法と、GW型のIDS/IPSにて防御する方法です。

上記の内容は理解できました。

ただちょっと良く分かっていないのですが、管理ネットワークを別にできない場合、

ウイルス対策としてサービスコンソール（VMkernel）にウイルス対策ソフトを

インストールすることはできるのでしょうか？

それともVMkernelはLinuxに見えるだけでOSではないため、そのような対策は

不要なのでしょうか？

教えてください。よろしくお願いします。

man33taro · ‎03-09-2010

VMkernel は完全に独自OSであり、汎用OSではないため、事実上アンチウィルスなどの

対策は基本的に不要です。

VMkernel自身がセキュリティ対策をされています。

ESX上で動作するサービスコンソールというESXへインタフェースを提供する仮想マシンは、Linuxベースで作成されています。

それも、多くのモジュールをなくしているため、一般的なアンチウィルスソフトを動かす事は事実上できません。

外部からのアタックから守るためには、VMkernelやサービスコンソールのネットワークの前に、FirewallやIDSやIPSをおくと

良いとおもいます。

ydanno1982 · ‎01-13-2011

man33taro 様

返信が遅くなりましたが、ご教授いただいた内容で理解できました。

FirewallやIDSやIPS等の機器で対策を行おうと思います。

ありがとうございました。

VMware ESXのホストOSのウイルス対策