3.2. ゲストセキュリティーの推奨プラクティス
『Red Hat Enterprise Linux セキュリティーガイド』 に記載されている Red Hat Enterprise Linux システムを保護するための推奨プラクティスはすべて、仮想化ゲストとしてインストールされたシステムだけでなく、従来の非仮想化システムにも適用されます。ただし、仮想化環境でゲストを実行する場合には、重要なセキュリティープラクティスがいくつかあります。
- ゲストの管理はすべてリモートで実行される可能性が高いため、システムの管理は必ずセキュリティー保護されたネットワークチャネルで行うようにしてください。SSH などのツールや TLS または SSL などのネットワークプロトコルは、認証とデータの暗号化の両方を提供し、承認された管理者のみがシステムをリモートで管理できるようにします。
- 一部の仮想化テクノロジーでは、特殊なゲストエージェントまたはドライバーを使用して仮想化固有の機能を有効にします。これらのエージェントとアプリケーションが、SELinux などの標準の Red Hat Enterprise Linux セキュリティー機能を使用して保護されていることを確認してください。
- 仮想化環境では、ゲストシステムの保護境界線の外から機密データがアクセスされるリスクがより高くなります。dm-crypt や GnuPG などの暗号化ツールを使用して保存された機密データを保護します。ただし、暗号化キーの機密性を確保するために特別な注意を払う必要があります。
注記
Kernel Same-page Merging (KSM) のようなページ重複排除技術を使用すると、サイドチャネルが導入され、ゲストの情報漏洩に使用される可能性があります。これが懸念される場合には、ゲストごとまたは全体で KSM を無効にできます。KSM の詳細は、Red Hat Enterprise Linux 7 仮想化のチューニングと最適化ガイド を参照してください。