バージョン: 2.0
日付: 2011年6月
投稿者:仮想化タスクフォースPCIセキュリティ標準会議
追加情報: PCI DSS Virtualization Guide
PCI DSS仮想化ガイド。 パート1
PCI DSS仮想化ガイド。 パート3
3仮想化環境のリスク
仮想化には機能上および運用上のいくつかの利点がありますが、仮想環境への移行は物理システムに存在するリスクを軽減するものではなく、新しい独自のリスクをもたらす可能性もあります。 そのため、仮想テクノロジを作成する際に考慮すべき要素がいくつかあります。これには、以下に定義するものが含まれますが、これらに限定されません。
3.1物理環境の脆弱性は仮想環境に適用されます
仮想システムとネットワークは、物理インフラストラクチャに存在するものと同じ攻撃と脆弱性の影響を受けます。 構成に欠陥があるアプリケーション、または悪意のある攻撃に対して脆弱なアプリケーションは、仮想環境にインストールされた場合、同じ欠陥と脆弱性を持ちます。
同様に、不適切に構成された仮想ファイアウォールは、不適切に構成された物理ファイアウォールと同じ方法で、インターネット攻撃に対して内部システムを不注意にさらす可能性があります。
物理的な脅威は仮想環境にも適用されます。 最も適切に構成され、適切に配置された論理パーティションには、機器を保護するための適切な物理的手段が必要です。 このため、論理的な縮小があっても、物理ホストシステムは常にスコープ内に残ります。
3.2ハイパーバイザーが攻撃用の新しいスペースを作成
仮想環境に固有の重要なリスク要因は、ハイパーバイザーです。 ハッキングまたは構成が正しくない場合、このハイパーバイザーにあるすべてのVMが潜在的に危険にさらされます。 ハイパーバイザーは、仮想環境への単一のアクセスポイントを提供し、潜在的に単一障害点でもあります。 正しく構成されていないハイパーバイザーは、ホストされているすべてのコンポーネントのセキュリティを破るための単一のポイントになります。 ハッキングされたハイパーバイザーは、個々のVMまたはコンポーネントがどれだけ安全に構成されていても、すべての設定を上書きし、仮想システムに直接アクセスできます。
VMに潜在的な侵入ポイントを提供するとともに、ハイパーバイザー自体が物理的な世界には存在せず、直接攻撃に対して脆弱な新しい攻撃対象領域を作成します。 ハイパーバイザー分離技術、アクセス手段、セキュリティ強化、およびパッチ適用の弱点を特定し、それぞれの目的に使用することができます。これにより、攻撃者は個々のVMにアクセスできます。
さらに、デフォルトのハイパーバイザー構成は、多くの場合、最も安全ではありません。適切に構成されていないと、各ハイパーバイザーがハッキングの目的で悪用される可能性があります。
最小限の特権と必要な知識の原則に従ってハイパーバイザーへのアクセスを制限し、すべてのアクティビティを強制的に独立して監視することが非常に重要です。 ハイパーバイザーは同じように作成されないため、各環境に必要なセキュリティ機能をサポートするソリューションを選択することが特に重要です。
3.3仮想化されたシステムとネットワークの複雑さの増加
仮想化された構成には、システムとネットワークの両方を含めることができます。 たとえば、VMは、ハイパーバイザー、および仮想ネットワークへの接続または仮想ファイアウォールなどの仮想ネットワークセキュリティデバイスを介して、相互にデータを転送できます。 このような構成は運用上大きなメリットをもたらしますが、これらのテクノロジーの追加レイヤーは、各レベルで適切なセキュリティを確保するために追加のセキュリティ対策と洗練された管理ポリシーを必要とする可能性がある重要な課題ももたらします。 仮想オペレーティングシステムとアプリケーションの潜在的な脆弱性と組み合わせることで、この複雑さの増加は、偶発的な構成変更や、システムの開発中に予見されなかったまったく新しい脅威にもつながります。 仮想コンポーネントのインスタンスは多くの場合、複数のシステムに複製されるため、このような脆弱性が存在すると、環境全体で重大なハッキングが発生する可能性があります。
3.4物理システムごとに複数の機能
仮想環境で特に懸念されるのは、システムの仮想機能の1つをハッキングすると、同じ物理システム上の他の機能が中断される可能性があることです。 危険にさらされたVMは、仮想化レベルで通信メカニズムを使用して、同じホストまたはハイパーバイザー上にある他の仮想マシンに対して攻撃を仕掛けることができます。 仮想化技術は、異なる機能間のプロセスのこの分離のリスクを減らすことができます。 それでも、単一の物理システム上の多くの機能またはコンポーネントの場所に関連するリスクを考慮する必要があります。 たとえば、同じ物理システムでホストされているいくつかの機能は、攻撃者がホストシステムに物理的にアクセスした場合にハッキングの可能性を高めます。
参照-異なるレベルの信頼のVMを混合する(関連するリスクの説明があります)。
3.5異なる信頼レベルでのVMの混在
仮想化の展開を計画する際の課題の1つは、特定の仮想化テクノロジ内に配置されたさまざまな種類のワークロードに適した構成を決定することです。 同じホストで異なるレベルの信頼のVMをホストするリスクを明確に評価する必要があります。 仮想コンテキストでは、通常、信頼度の低いVMのセキュリティ対策は、信頼度の高いVMよりも少なくなります。 したがって、信頼性の低いVMをハッキングに使用して、単一のシステム内でより機密性の高いVMを攻撃する場所を提供できる可能性があります。 理論的には、異なるレベルの信頼のVMを同じハイパーバイザーまたはホストに配置すると、すべてのコンポーネントのセキュリティの全体的なレベルを最も安全性の低いコンポーネントのレベルに下げることができます(原則としても知られています-セキュリティは最も安全性の低い要素と同じくらい強力です)。
調整に伴うリスクと問題の増加により、仮想ネットワークの設計を計画する際には、各VM機能に関連する信頼レベルとリスクを考慮する必要があります。 同様に、カード会員データを保存するデータベースやその他のストレージシステムには、機密性の低いストレージシステムよりも高いレベルのセキュリティが必要です。 機密データと信頼度の低いデータが混在するリスクを適切に評価することを忘れないでください。
3.6職務分離の欠如
分散仮想化環境でユーザーの正確な役割を決定すること(たとえば、ネットワーク管理者をサーバー管理者から分離すること)およびアクセスポリシーを決定することは特に困難です。 ハイパーバイザーへのアクセスは、主要なインフラストラクチャコンポーネント(スイッチ、ファイアウォール、支払いアプリケーション、サーバーログ料金、データベースなどを含む)への幅広いアクセスを提供する可能性があるため、誤ったロール定義とアクセスポリシーのリスクは非常に重要です。 単一の論理的な場所またはユーザーから複数の仮想デバイスおよび機能へのアクセス性が向上するため、仮想環境では適切な職務分離を監視および実施することが重要です。
3.7非アクティブな仮想マシン
多くの仮想プラットフォームでは、仮想マシンはアクティブ状態と非アクティブ状態の両方で存在できます。 アクティブでなくなった(非アクティブまたは使用されなくなった)VMには、認証データ、暗号化キー、重要な構成情報などの安全でないデータが含まれている場合があります。 非アクティブなVMはアクティブに使用されないという事実により、簡単に見落とされ、誤ってセキュリティ手順の対象にならない可能性があります。
非アクティブなVMは使用されないため、簡単に見落とされたり、セキュリティ手順から誤って除外されたりする可能性があります。 非アクティブなVMは、最新のセキュリティパッチで更新されない可能性が高く、その結果、システムは、組織が解決したと考えている既知の脆弱性にさらされます。 また、スリープ状態のVMには更新されたアクセスポリシーがある可能性が低く、セキュリティおよび監視機能から除外できます。
仮想環境でのバックドア。
さらに、VMが非アクティブ(スリープ)状態の場合、VMメモリ(たとえば、暗号化されていないPANを含む場合があります)のデータが多くの場合、重要なデータの意図しない保存につながります。 このデータは停止時にメモリ内にあったため、現時点ではVMが非アクティブ(「スリープ」)状態のままであるにもかかわらず、そのようなデータは簡単に無視され、保護されないままになります。 これらのVMはアクティブではありませんが、実際のセキュリティ上の脅威をもたらすため、適切なセキュリティ対策を講じるには、特定して監視する必要があります。
3.8 VMイメージとスナップショット
仮想マシンのイメージとスナップショットは、短時間で複数のサーバーに仮想システムを迅速に展開または回復するためのツールを提供します。 VMイメージとスクリーンショットの準備には特に注意が必要です。VMイメージとスクリーンショットは、アクティブメモリの内容など、イメージの時点でシステム上で利用可能な保護されていないデータをキャプチャできるためです。 これは、環境内での安全でない情報の意図しないキャプチャ、保存、さらには展開につながる可能性があります。
さらに、画像が変更から保護されていない場合、攻撃者はアクセスを取得し、脆弱性や悪意のあるコードを追加できます。 その後、悪意のあるイメージが環境全体に広がり、複数のホストが即座にハッキングされる可能性があります。
3.9モニタリング決定の未熟さ
同時に、仮想化によりログと監視の必要性が高まるにつれて、仮想ネットワーク、仮想ファイアウォール、仮想コンプライアンスシステムなどを監視するためのツールは、物理的な対応ツールほど開発されていないことが認識されています。
物理ネットワーク用の従来の監視ツールと比較すると、仮想システム用のツールは、ホスト内のメッセージまたは仮想ネットワーク内のVM間のトラフィックフロー内で同じレベルの信頼性または制御を提供できません。 また、組み込みハイパーバイザー、管理インターフェイス、仮想マシン、ホストシステム、仮想デバイスなど、いくつかのコンポーネントに必要な詳細レベルを反映するには、仮想環境を監視および記録するための専用ツールが必要になる場合があります。
3.10仮想ネットワークセグメント間の情報漏洩
ネットワーク仮想化を検討する際には、論理ネットワークセグメント間の情報漏洩の潜在的なリスクを理解する必要があります。 データプレーンでの情報漏えいにより、データ保護対策を回避して、既知の場所以外に機密データが存在するようになりました。 コントロールプレーンまたはコントロールプレーンでの情報漏えいを使用して、データプレーンでの情報漏えいを有効にしたり、ネットワークセキュリティ対策をバイパスしてルートネットワークと転送動作に影響を与えたりすることができます。 理想的には、ネットワークインフラストラクチャの3つのプレーンすべての仮想化機能は、個々の物理デバイスと同等のレベルで安全な仮想インフラストラクチャの手段と機能を提供する必要があります。
3.11仮想コンポーネント間の情報漏洩
共有リソースへのアクセスにより、コンポーネントの1つが同じホスト上の別のコンポーネントに関する情報を収集できる場合、仮想コンポーネント間の情報漏洩が発生する可能性があります。 たとえば、攻撃者は侵害されたコンポーネントを使用して、同じホスト上の他のコンポーネントに関する情報を収集し、潜在的なハッキングや悪影響のための十分な知識を得る可能性があります。 たとえば、攻撃者は基盤となるオペレーティングシステムのメモリにアクセスして、いくつかのコンポーネントから機密情報を収集する可能性があります。 誤ったハイパーバイザー設定は、仮想アプライアンスとネットワーク間の情報漏洩のチャネルにもなります。 すべての物理リソース(メモリ、CPU、ネットワークなどを含む)の分離は、仮想マシンと同じホスト上の他のコンポーネントまたはネットワークとの間の情報漏洩を防ぐために重要です。