第18章 仮想マシンの保護

仮想マシン (VM) を使用する場合、ご利用の環境を保護するにはさらなる考慮事項が必要です。

1 台のホストマシンは、複数のゲストオペレーティングシステムを収容できます。このシステムは、ハイパーバイザーを介してホストに接続しますが、通常は仮想ネットワークを介して接続します。したがって、各仮想マシンを、悪意のあるソフトウェアでホストを攻撃するベクトルとして使用できます。また、ホストも、仮想マシンを攻撃するベクトルとして使用できます。

図18.1 仮想化ホストの潜在的なマルウェア攻撃ベクトル

ハイパーバイザーはホストカーネルを使用して仮想マシンを管理します。そのため、仮想マシンのオペレーティングシステム上で実行されているサービスが、悪意のあるコードをホストシステムに注入するのによく使用されます。しかし、ホストシステムとゲストシステムの両方で様々なセキュリティー機能を使用することで、こうしたセキュリティー上の脅威からシステムを保護することができます。

このような SELinux や QEMU サンドボックスなどの機能は、悪意のあるコードがハイパーバイザーを攻撃し、ホストと仮想マシンとの間の転送をより困難にするさまざまな対策を提供します。

図18.2 仮想化ホストでマルウェア攻撃を阻止

RHEL 10 が仮想マシンのセキュリティーのために提供する機能の多くは、常にアクティブであり、有効にしたり設定したりする必要はありません。

さらに、仮想マシンおよびハイパーバイザーの脆弱性を最小限に抑えるために、さまざまなベストプラクティスを実行することもできます。