VCF 9.1で、ゼロトラスト・セキュリティとレジリエンスを強化

本日は、弊社Broadcom のプライベートクラウドのネットワーキング、セキュリティ、およびオペレーション分野のマーケットリーダーシップを牽引しているDevyani Pisolkarの投稿をご紹介いたします。ご参照ください。

現代のサイバー脅威は、もはやアプリケーションに対する孤立した攻撃にとどまらず、インフラストラクチャそのものを標的としています。APT（高度持続的脅威）、ランサムウェア、サプライチェーン攻撃は、ワークロードが実行される基盤層を直接狙っています。この基盤に対するセキュリティ確保は、単なる選択肢ではなく、かつては手動によるハッキングに依存していたサイバー攻撃が、AI駆動型で自己進化する攻撃へと変化した現代において、セキュアかつレジリエントなプライベートクラウドインフラストラクチャを運用するための前提条件となっています。

AI導入が拡大するにつれ、セキュリティアーキテクチャは戦略的な優先事項となっています。人、データ、AIシステム間の信頼できる相互作用を確保するには、インフラストラクチャのセキュリティに対する周到なアプローチが必要であり、統合されたプライベートクラウドプラットフォームのアプローチは、アーキテクチャ上の制御、データ主権、および規制コンプライアンスの観点から大きな利点をもたらします。

VMware Cloud Foundation（VCF）は、高度な脅威に直面しても機密データを保護し、事業継続性を維持するために不可欠な、検証済みで完全性が保証されたインフラストラクチャ基盤を提供します。VCFは、暗黙の信頼に依存するのではなく、システムを継続的に検証し、プラットフォームの深い可視性とリアルタイムの完全性監視を提供します。セキュリティ制御が組み込まれたVCFの堅牢なソフトウェア定義インフラストラクチャは、AIを利用してよりスピーディーに、絶えず進化する脅威に先手を打つためのレジリエンスを企業に提供します。

VCF 9.1におけるプラットフォームセキュリティ

VCF の新リリースには、プラットフォームのセキュリティ機能に対する改善と強化が毎回含まれています。VCF 9.1 は、本番環境での AI 導入をサポートする最新のプラットフォームセキュリティ機能を提供します。ハイパーバイザーからアプリケーション層に至るインフラストラクチャスタック全体にセキュリティを統合することで、AI ワークロード、独自モデル、および機密データを保護します。

VCF 9.1で提供される主要なプラットフォームセキュリティ機能は、5つのカテゴリをカバーします。「脅威の検出と防止」は、ハイパーバイザーを強化し、業務への影響をゼロに抑えながらパッチ適用を迅速化します。「ワークロード・レジリエンス」は、ハードウェアの分離とクロスプラットフォームのレプリケーションにより、アプリケーションの稼働と復旧を保証します。データ暗号化は、スタック全体において、使用中、転送中、保存中のデータを保護します。監査および監視機能は、統合されたログ管理と一元化された監査証跡を提供し、迅速なフォレンジック分析を可能にします。IDおよびアクセス管理は、フリートレベルのSSO、パスワード、および証明書による制御を通じて、ゼロトラストを徹底します。これらの柱が一体となって、より高度で適応力が高く、ますます自動化が進む攻撃者に対して、プライベートクラウドや本番環境でのAI導入に求められる多層防御を実現します。

脅威の検出と防止

VCF 9.1 では、脅威の検出と防止を強化するため、予防的なアラート機能や、インフラストラクチャの整合性および構成に関するインテリジェントな分析・検証の分野において、引き続き新機能が追加されています。今回のリリースでは、VCF のパッチ適用機能がさらに拡張されました。

TPM（Trusted Platform Modules ）対応ホスト向けのライブパッチ適用

VCF 9.1 では、vSphere におけるライブパッチ適用機能がさらに成熟し、ターゲットホストからワークロードを移行したり、ホストをフルメンテナンスモードに移行したりすることなく、クラスタにセキュリティ更新プログラムを適用できるようになりました。また、このリリースでは、ESX ホストで TPM を有効にしていた場合に生じていたギャップも解消されました。以前は、TPM を有効にすると、それらのホストがライブパッチ適用ワークフローに参加できなくなっていました。ダウンタイムゼロのライブパッチ適用は、SLAを満たすために継続的な可用性を必要とするAI推論サービスやエージェント型AIアプリケーションなど、ビジネスクリティカルなアプリケーションにとって大きなメリットとなります。

vCenter 向けクイックパッチ

クイックパッチ機能により、VMware vCenter はアプライアンスをオフラインにすることなくセキュリティパッチを適用できます。従来のパッチ適用では約 20 分のダウンタイムと最大 40 分の総所要時間が必要でしたが、vCenter の更新はワークロードを中断させることなく、約 5 分で完了します。vCenter のパッチ適用にかかる運用コストを削減することで、インフラストラクチャにおいて最も重要な管理コンポーネントの 1 つである vCenter の更新を遅らせがちな障壁を取り除きます。

ライブパッチングおよびクイックパッチング機能により、VCF 9.1 では、スタック全体のアップグレードやワークロードの中断を伴わずに、より大規模かつ迅速にセキュリティ修正プログラムを適用できるようになります。

ESX向けEDR統合

ESXホストでは、セキュリティパートナーのEDRエージェントをハイパーバイザー上で直接実行できるようになりました。EDRエージェントは、ホスト上の隔離されたコンテナ内で実行され、通常の運用への干渉を防ぐため、コアシステムから分離されています。このエージェントは、プロセスの起動や停止、ネットワーク接続の確立などのイベントを監視し、それらをセキュリティベンダーの管理プラットフォームに報告します。ESX 9.1ではEDRがサポートされており、EDRベンダーは互換性のあるエージェントを提供する必要があります。これらの機能の導入を検討している組織は、エージェントの入手についてEDRベンダーにご相談ください。

ファイル整合性監視

VCF 9.1 では、NIST および PCI DSS の要件に準拠したファイル整合性監視（FIM）機能が追加されました。この機能により、vCenter によってインストールされた静的ファイルやバイナリに対して、マルウェアや悪意のある攻撃者による変更を検出します。FIM はデフォルトで有効になっており、4 時間ごとに実行、インストールされたファイルに対する悪意のある変更、意図しない変更、または破損を検出します。VCFの管理者は、APIを使用してFIMレポートを取得、syslogサービスを使用してFIMログをVCF Operations for Logsにストリーミングしたりできます。

ユーザーレベルモニター

ユーザーレベルモニター（ULM）は、すべての仮想マシンのデフォルトモニターとしてVCF 9.1に搭載されています。ULMは、1998年以来物理ハードウェア上でVMの実行を管理してきたESXの仮想マシンモニター（VMM）を完全に再実装したものです。従来、VMMはOSの最高権限で実行されていたため、脆弱性が発見されればホスト全体およびすべてのVMが危険にさらされる可能性がありました。ULMはモニターを権限の低いユーザーモードに移行させることで、潜在的な脆弱性攻撃による影響を封じ込めます。再設計されたカーネルインターフェースにより、すべての入力を信頼できないものとして扱われ、アドレス空間からはホストの機密情報や他のVMのメモリが除外されます。また、よりシンプルなアーキテクチャにより、攻撃対象領域とハイパーバイザーの複雑さが大幅に軽減されます。

ワークロードのレジリエンス

vSphere Pod の機能強化

VCF がコンテナ・ワークロードの分離を実現する方法の一つが vSphere Pod です。vSphere Pod は、ESX が管理する仮想マシン（VM）内でコンテナを直接実行し、コンテナの高速性と高密度性をハイパーバイザーによるハードウェア分離と組み合わせます。PodVM（vSphere Pod）は、Kubernetesクラスタを展開することなく、1つ以上のコンテナインスタンスを実行するために使用されます。vSphere PodはSupervisorサービスに活用され、新しいコンテナサービスUIを通じて利用可能です。

vSphere Podsは、Container Runtime Executive（CRX）を使用して、軽量かつ高性能な環境を提供し、数秒でのリブートを可能にします。つまり、アプリケーション間の厳格なカーネル分離が必要な高セキュリティなワークロードや、ESXの高度なスケジューリングおよび予測型DRS機能が必要なリソース集約型のマイクロサービスに最適です。

スーパーバイザーサービスの数が増えるにつれ、PodVMのメモリオーバーヘッドがボトルネックとなる可能性があります。PodVMのメモリ最適化により、同一ホスト上のPodVMインスタンス間でブートイメージを共有することで、標準的なVMと比較してメモリオーバーヘッドが約75%削減されたことが社内テストで実証されています。さらに、PodVMの起動速度が一般的なVMよりも最大70%高速であることも社内テストで確認されています。

新しいContainer Serviceを利用すれば、Kubernetesクラスタ全体の管理の必要なく、個々のコンテナをデプロイできます。vSphere Pod内の分離されたランタイムを使用することで、Kubernetesクラスタ全体を設定・管理しなくても、個々のコンテナを実行することが可能になります。

また、今回のリリースでは、外部のsyslogサーバーへPodVM内のすべてのコンテナからのSTDOUT/STDERRを、リアルタイムでストリーミングする機能が追加されました。この機能はvSphere Podにのみ適用され、VMware vSphere Kubernetes Service（VKS）のゲストクラスタワークロードには適用されません。

vSANクラスタ向けのマルチソースレプリケーション

VCF 9.0のvSANでは、vSAN間レプリケーションが導入され、あるvSANクラスタから別のvSANクラスタへのVMの保護が可能になりました。今回のリリースでは、この機能がさらに拡張されています。VMFSやNFSデータストアなど、あらゆるソースからvSANターゲットへVMをレプリケートまたは保護できるようになりました。これにより、複数のストレージプラットフォームが混在する既存のVCF環境を保護する柔軟性が向上します。ポリシーベースのスナップショットと包括的なレプリケーションにより、使用しているストレージプラットフォームに関係なく、単一のレプリケーション先とワークフローを通じて、環境内にあるすべてのVMが保護できます。

これらのレプリケーション機能は、VMware Site Recovery Manager (SRM) または VMware Advanced Cyber Compliance ソリューションを通じて利用可能です。

データの暗号化

VCF 9.1 では、保存データ、転送中のデータ、および機密コンピューティング・ワークロードに対する機能強化を含め、スタック全体にわたる暗号化機能が追加および拡張されています。

「Confidential Computing」、一般提供開始

「Confidential Computing」は、ハイパーバイザーでさえアクセスできないハードウェア暗号化メモリ領域内で機密性の高いワークロードを実行し、共有プライベートクラウドインフラストラクチャ上で使用中のデータを保護します。VCF では数年前からこの技術の旧世代をサポートしてきましたが、 VCF 9.1 では、現行世代の実装である Intel TDX および AMD SEV-SNP に対するサポートが進化し、一般提供に移行しました。実用的な改善点の一つとして、有効なホストでの「Confidential Computing」が有効になっているホストでのQuick Boot の再有効化が挙げられます。以前は、Intel TDX または AMD SEV-SNP を使用するホストでは、Quick Boot を利用できませんでした。Quick Boot は、ESX が完全なハードウェア初期化サイクルを経ずに再起動できるようにし、それによってメンテナンスウィンドウを短縮する機能です。

さらに、VCF Operationsでは、ESXホストのプロファイリングを自動的に実行し、機密性の高いVMやコンテナがどのホストで実行できるか特定できるようになりました。これにより、アーキテクトが保護されたハードウェア上に機密性の高いワークロードを展開する際の判断に迷うことがなくなります。また、オペレーターは、対象となるホストで「Confidential Computing」が有効化されているかどうかを確認することもできます。

VCFにおける「Confidential Computing」は、VMware Advanced Cyber Complianceソリューションを通じて利用可能です。

Intel QuickAssist Technology (QAT) による高速化された暗号化 vMotion

vMotion はリソースを大量に消費するプロセスであり、暗号化を有効にするとその負荷はさらに増大します。ワークロードの規模が大きくなり、vMotion 操作の頻度が高まるにつれて、このタスクに要するリソース消費量は大幅に増加します。暗号化機能をハードウェアにオフロードすることで、重要なリソースの消費を抑え、そのリソースを他のアプリケーションに割り当てることが可能になり、コスト削減につながります。

QATは、対応ハードウェア上でデフォVCF9.1_Blog-2ルトで有効化されており、これによりユーザーエクスペリエンスとライフサイクル管理がよりスムーズになります。

vSANグローバル重複排除のための保存データ暗号化

vSAN Global Deduplication in vSAN for VCF 9.1の一般提供開始に伴い、グローバル重複排除を使用するvSANクラスタは、Data-at-Rest Encryptionをサポートするようになりました。同じクラスタ上で vSAN グローバル重複排除を実行しながら、クラスタ単位で保存データ暗号化を有効にすることができ、両者の間でトレードオフが生じることはありません。重複排除は後処理のバックグラウンドアクティビティとして実行され、保存データ暗号化と互換性があります。暗号化を有効にしても、重複排除率に影響はありません。

監査と監視

一元化されたログ管理

VCF 9.1 では、VCF Operations for Logs のスタンドアロン UI 機能を VCF Operations に完全に統合することで、ログ管理機能が強化されました。これにより、VCF 管理者および運用担当者は、すべてのログ管理タスクを単一のインターフェースから実行できるようになります。これには、ログ処理ルール、ログ管理、ログ公開 API、ログクラスタ管理に関連するグローバル設定の統合、およびログ分析ページの機能強化が含まれます。

すべての機能が VCF Operations に統合されたため、スタンドアロンの UI は不要になりました。

監査証跡

ログステートメントおよび監査記録のフォーマットは、VCFコンポーネント全体で標準化されました。

VCF Operationsの新しい監査証跡機能は、これをさらに発展させ、すべてのコンポーネント（VKSを含む）にわたるユーザーアクティビティを一元化されたタイムスライス形式で表示します。これにより、フォレンジック解析や主要なイベントの特定が簡素化され、監査時間が最小限に抑えられます。ファイアウォールルールが変更された場合やログイン試行が失敗した場合、オペレーターはスタック全体にわたるイベントの連鎖を追跡できます。

IDおよびアクセス

VCF 9.1 では、前回のリリースで導入された統合 SSO、パスワード、および証明書管理機能が拡張され、対象コンポーネントの範囲拡大、フリートレベルの制御、および新しいVaultと CA との統合が実現されています。

Identity Broker の機能強化

VCF Identity Broker (VIDB) には、拡張された設定オプションと導入機能の強化が含まれています。VIDB は、VCF コンポーネントと外部で管理される ID プロバイダー (IDP) またはディレクトリサービス間の SSO 接続を仲介します。Identity Broker は、VCF の導入またはアップグレード時にインストールされるようになり、シングルサインオンを設定するための前提条件として別途ダウンロードする必要はなくなりました。

Identity Brokerは、VCF OperationsまたはAPIから、組み込みモードまたはアプライアンスモードで構成できます。Identity Brokerを3ノードのクラスターとして展開すると、パフォーマンス、スケーラビリティ、および高可用性が向上するため、本番環境での展開に推奨されます。Identity Brokerノードは、管理クラスターの外側に展開できるようになりました。

また、VCF 9.x では、VCF 5.x からアップグレードしたお客様向けに、VMware Identity Manager (VIDM) から Identity Broker へユーザーおよびグループをサービス停止なしで移行するためのスクリプト化されたワークフローが提供されます。アップグレードプロセスにより Identity Broker がデプロイされ、スクリプトはアップグレード完了後に実行されます。その後、Identity Broker を選択した ID プロバイダーと統合することができ、既存のユーザーやグループには影響がありません。

パスワード管理機能の強化

VCF Operations 9.1 では、フリートレベルのポリシー制御、Vault との統合、および追加コンポーネントへの対応により、パスワード管理機能が拡張されました。

VCF コンポーネント全体で統一されたパスワードポリシーを設定し、パスワードのコンプライアンスチェックと修正措置を実行できるようになりました。作成されたポリシーは、VCF フリートレベルまたは個々の VCF コンポーネントに割り当てることができます。さらに、管理者は、VCF Operations ワークロードモビリティ（旧称：HCX）および VCF 9.1 にデプロイまたはアップグレードされた Avi ロードバランサーのパスワードを管理できるようになりました。

緊急用アカウントのパスワードは保存されず、パスワード修正ワークフローの主要な要因がなくなりました。さらに、Enterprise Password Vault 統合用の新しい API により、CyberArk などのサードパーティ製ツールがサポートされます。API 経由で管理される Enterprise Password Vault には、VCF 用のプラグインが必要となります。

証明書管理機能の強化

VCF 9.1 では、フリートレベルの CA 設定、Microsoft CA および OpenSSL のサポート拡充、および証明書の一括操作機能が追加されました。認証局（CA）は、インスタンス単位ではなく VCF フリートレベルで設定されるようになったため、フリートレベルで証明書管理を行うことが可能になりました。

Microsoft CA および OpenSSL のサポートが、VCF インスタンスと VCF 管理コンポーネントの両方に拡大されました。以前のリリースでは、VCF インスタンスコンポーネント（vCenter、NSX、および ESX）に対して Microsoft CA および OpenSSL がサポートされていましたが、管理コンポーネントについては Microsoft CA のみを使用して設定することができました。

VCF Operations UIでは、オペレーターが証明書の一括操作を実行できるようになり、証明書署名要求、証明書の更新、および証明書のインポート操作をすべて一括で実行できるため、時間を短縮し、証明書管理業務をさらに効率化できます。VCF Operations APIを使用することで、サードパーティとの統合や、すべてのVCFコンポーネントにおける証明書管理の自動化が可能になります。