検索

16.5. 仮想マシンのセキュリティーの自動機能

download PDF

Best practices for securing virtual machines に記載されている、仮想マシンのセキュリティーを向上させる手動での手段に加えて、RHEL 8 で仮想化を使用する場合は、libvirt ソフトウェアスイートにより、多くのセキュリティー機能が提供され、自動的に有効になります。これには以下が含まれます。

システムおよびセッションの接続

RHEL 8 で仮想マシン管理に使用できるすべてのユーティリティーにアクセスするには、libvirt (qemu:///system) のシステム接続を使用する必要があります。そのためには、システムで root 権限を持っているか、libvirt ユーザーグループの一部である必要があります。

libvirt グループに属していない root 以外のユーザーは、libvirt (qemu:///session) のセッション接続にのみアクセスできます。これは、リソースにアクセスする際に、ローカルユーザーのアクセス権限が有効である必要があります。たとえば、セッション接続を使用しても、システム接続で作成された仮想マシンや、その他のユーザーを検出したり、アクセスしたりすることはできません。また、利用可能な仮想マシンネットワーク設定オプションも大幅に制限されます。

注記

RHEL 8 のドキュメントでは、システムの接続特権があることを前提としています。

仮想マシンの分離
個々の仮想マシンは、ホストで孤立したプロセスとして動作し、ホストカーネルにより強制されるセキュリティーに依存します。したがって、仮想マシンは、同じホストにある他の仮想マシンのメモリーやストレージを読み取ったり、アクセスすることができません。
QEMU サンドボックス
QEMU コードが、ホストのセキュリティーを侵害する可能性のあるシステムコールを実行できない機能です。
KASLR (Kernel Address Space Randomization)
カーネルイメージをデプロイメントする物理アドレスおよび仮想アドレスをランダム化できるようにします。したがって、KASLR は、カーネルオブジェクトの場所に基づいて、ゲストのセキュリティーが悪用されるのを防ぎます。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.