先日の Japan VMUG May Meeting 2024 で登壇した「今日だからこそ vSphere Security Configuration and Hardening Guide」の資料です。
今回の内容です。
- 録画
- 今回のテーマについて
- vSphere Security Configuration and Hardening Guide の様子
- 確認の観点は?
- PowerCLI 確認の例
- Aria Operations 確認の例
- ところで、vSAN は?
- ところで、VCF は?
録画
録画はこちら。
今回のテーマについて
今回は、直前のセッションが富士ソフト Riviiv(Rubrik を利用した、ランサムウェア対策にもなるマネージド バックアップ サービス)の紹介&ディスカッションだったので、セキュリティに関係する話にしました。
以前に Japan VMUG vExpert が語る #30 で Masahiro Irie さんが「今だからこそ vSphere Security Configuration and Hardening Guide」というタイトルで登壇をしていたので、今回は「今日だから~」というタイトルにして、みんなで SCG をあらためて見てみる機会にしようと思いました。
直前のセッションは、仮想マシンから上のレイヤが対象となるバックアップやランサムウェア対策の話でしたが、SCG では仮想マシンから下のレイヤが対象範囲です。
vSphere Security Configuration and Hardening Guide の様子
vSphere 8 Security Configuration & Hardening Guide(SCG)は、下記からダウンロードできます。
SCG の中身は、下記のようなファイルが含まれます。
- VMware vSphere Security Configuration Guide 8 - Controls - 802-20231005-01.xlsx
→ 本体 - VMware vSphere Security Configuration Guide 8 - Guidance - 802-20231005-01.pdf
→ 説明書 - Tools
→ PowerCLI による確認スクリプトのサンプル - LICENSE-2.0.txt
→ Apache License 2.0
そして本体の Excel ブックに含まれる主なシートは下記です。
- System Design(システム設計)
- Hardware Configuration(ハードウェア構成)
- Controls(設定要素)
Controls(設定要素)の項目には、Priority(優先度)があり、もっとも優先度が高いのが「P0」です。
確認の観点は?
はじめて SCG を確認する際には、下記のようなポイントを踏まえて見ていくとよさそうかなと思います。
- vSphere の新しいバージョン(8.0 Ux など)ごとに更新される
- 自分の vSphere バージョンのものを確認する。
- 項目が、削除 / 変更 / 追加 されることがある。
- 各コントロールを識別するのは、SCG ID
- 項番のようなものはなく、文字列。
- 例: esxi-8.account-password-history
- 優先度(Implementation Priority)の高いものから取り組む
- P0 → P1 → P2
- デフォルトで設定されているものもある。
- 「Action Needed = Modify」が設定変更するもの。
SCG から、古くなって削除された項目の例です。
- esxi-8.ad-enable → かえってよくない
- vcenter-8.vami-networking-settings → 追加 NIC の要否は判断困難なのでシステム設計へ
- vcenter-8.vami-access-dcli → 書き間違い?
- vm-8.enable-vga-only-mode → もう VGA では解像度低すぎる
- そもそも仮想マシンの VMX パラメータが消滅した、など
VMX パラメータの説明については、下記が参考になります。
- VMware vSphere 8 Virtual Machine Security Parameters
https://core.vmware.com/vsphere-8-virtual-machine-security-parameters
SCG の Controls 項目にはデフォルト値のものもあり、「設定すべし」だけでなく、設定変更されていないか「チェックすべし」というものもあります。
「Action Needed 列 = Modify」が設定変更するものです。「Is the Default? 列 = YES」の項目はデフォルト値として設定されているもので、「Action Needed 列 = Audit」(監査/チェックすべし)といった指定がされています。
SCG を効率的に確認するには、次のような方法があります。
- PowerCLI
- Aria Operations
PowerCLI 確認の例
SCG には、設定確認のための PowerCLI コマンド例が記載されています。ただし、コマンド例ではオブジェクト(ESXi や仮想マシンなど)単体での情報取得となっているので、例を編集して、環境を俯瞰する(「-Name $ESXi」のように対象を絞りすぎない)情報取得をすることが多いと思います。
また、オブジェクト単体の情報を取得する場合も、設定値が期待通りかテストする活用方法が考えられます。
SCG 同梱のサンプルは、あらかじめレポート出力用のディレクトリを作成してから実行することで、下記のような確認結果を表示&出力できます。
Aria Operations 確認の例
Aria Operations でも、SCG をもとにしたチェックができます。
今回は、画面をライト テーマにしてあります。
- 環境設定 → 配色: 明
ところで、vSAN は?
Aria Operations では、vSAN セキュリティ構成ガイド のチェックも可能です。
「vSAN セキュリティ構成ガイド」の項目はあまり多くなく、ESXi の I/O コントローラのファームウェア更新、vSAN のデータ暗号化とチェックサム有効化を確認します。
ところで、VCF は?
vSphere SCG には、VMware Cloud Foundation(VCF)で展開された SDDC で対応しているか、「VCF Compatible」列で確認できます。Controls の殆どの項目が対応している(VCF Compatible 列 = TRUE)ようです。
以上、vSphere SCG の様子を見てみる話でした。