ESXi ハイパーバイザーおよび vCenter Server Appliance (VCSA) 上へのサードパーティ製エージェントおよびアンチウイルスソフトウェアのデプロイに関して
Article ID: 435083
Updated On:
Products
Issue/Introduction
vSphere 上でのサードパーティ製エージェントおよびアンチウイルスソフトウェアの使用について説明します。
Environment
VMware vSphere ESXi
VMware vCenter Server
VMware vCenter Server Appliance
Resolution
VMware ハイパーバイザーである ESXi は、セキュリティと信頼性を確保すると同時にパフォーマンスと可用性も確保するために、構成可能なオプションと統合された常に有効なセキュリティ機能を幅広く活用しています。SDDC スタックにおけるその役割と基本的な位置づけから、ワークロード自体を保護する場合と比較して、セキュリティに対する追加のアプローチが必要となります。構成可能な場合、これらのアプローチは VMware Security Hardening Guides に概説されており、以下のような基本的なプラクティスが含まれています。
・セキュアブートを使用して、Broadcom および認定パートナーによって署名されたソフトウェアのみが ESXi にロードされるようにします。
・「execInstalledOnly」を使用して、未知のソースからのバイナリの実行を防止します。
・ロックダウンモードを使用して、ESXi へのアクセスを vCenter Serverで認証されたユーザーのみに制限します。
・パッチリリースを常に最新の状態に保ちます。Broadcom はセキュリティアドバイザリ プロセスの一環としてアップデートを発表しており、必要なパッチは Broadcom のダウンロードサイトにも掲載されています。
ESXi ハイパーバイザーは、ネットワークルーターのファームウェアに似た、専用の特化型ソリューションです。このアプローチにはいくつかの利点がある一方で、ESXi のランタイム環境は他のオペレーティングシステムとは異なるため、汎用オペレーティングシステム向けに設計されたセキュリティツールを含む「市販の (off-the-shelf)」ソフトウェアを ESXi で実行することはできなくなります。
セキュリティツールは通常、SSH 経由のリモートアクセスを使用したエージェントレスの監視およびマルウェア対策ツールをサポートしています。お客様は、SSH アクセスを有効にすることによるリスクと、そのようなツールから得られる監視の利点とを比較検討する必要があります。日常的な vSphere の運用において SSH アクセスは必須ではありません。
サードパーティのゲスト OS 内部でのEndpoint Detection and Response (EDR) およびその他のセキュリティ対策の使用はサポートされており、推奨されています。
Broadcom 製品におけるセキュリティの進化は継続的なプロセスであり、すべての製品リリースで確認することができます。このプロセスは、過去においても EDR を含むサードパーティのセキュリティツールとのさらなる統合を含んでおり、今後も継続されます。
vCenter および ESXi ホスト
・VMware vCenter Server Appliance(VCSA)またはESXiホストにサードパーティ製エージェントやアンチウイルスソフトウェアを直接インストールすることはサポートされていません。
・エージェントレススキャンや集中型セキュリティ管理プラットフォームとの統合など、代替ソリューションをご検討ください。
Additional Information
アプライアンスまたは ESXi ベースバージョンに変更が加えられた場合、サポート対象外となります。Broadcom サポートによるトラブルシューティングは、組み込みコマンド内での変更のみが許可されているベースバージョンに対してのみ実施されます。
Feedback
