19.2. 仮想マシンのセキュリティー保護に関するベストプラクティス
以下の手順を行うと、仮想マシンが悪意のあるコードに感染し、ホストシステムに侵入するための攻撃ベクトルとして使用されるリスクが大幅に低減します。
ゲストで以下を行います。
仮想マシンを、物理マシンと同じように保護します。セキュリティーを強化するのに使用できる方法は、ゲスト OS によって異なります。
仮想マシンで RHEL 9 を実行している場合、ゲストシステムのセキュリティーを強化する方法の詳細は、Securing Red Hat Enterprise Linux 9 を参照してください。
ホストで以下を行います。
- 仮想マシンをリモートで管理する場合は、SSH などの暗号化ユーティリティーと、SSL などのネットワークプロトコルを使用して仮想マシンに接続します。
SELinux が Enforcing モードであることを確認します。
# getenforce Enforcing
SELinux が無効または Permissive モードになっている場合は、SELinux の使用 で Enforcing モードを有効にする手順を参照してください。
注記SELinux の Enforcing モードでは、sVirt RHEL 9 機能も有効になります。これは、仮想化に使用される特別な SELinux ブール値のセットです。この値は 手動で調整 でき、仮想マシンのセキュリティーを詳細に管理できます。
SecureBoot で仮想マシンを使用します。
SecureBoot は、仮想マシンが暗号化で署名された OS を実行していることを確認する機能です。これにより、マルウェア攻撃が変更した OS の仮想マシンを起動できなくなります。
SecureBoot は、AMD64 または Intel 64 ホストで OVMF ファームウェアを使用する Linux 仮想マシンをインストールする場合にのみ適用できます。手順は、Creating a SecureBoot virtual machine を参照してください。
qemu-kvm
などのqemu-*
コマンドは使用しないでください。QEMU は、RHEL 9 における仮想化アーキテクチャーの必須コンポーネントですが、手動で管理することが難しく、QEMU 設定に誤りがあるとセキュリティーの脆弱性を引き起こす可能性があります。したがって、Red Hat では、大半の
qemu-*
コマンドの使用をサポートしていません。代わりに、ベストプラクティスに従って QEMU のオーケストレーションを行うため、virsh
、virt-install
、virt-xml
などの libvirt ユーティリティーを使用します。ただし、仮想ディスクイメージの管理 には
qemu-img
ユーティリティーがサポートされていることに注意してください。