Security

【後編】Sandbox による ESXi の保護: Daemon Sandboxing in ESXi 8.0

Dec 8, 2022 · 4 min read · vSphere ESXi Security ·

本記事は vExperts Advent Calendar 2022 の８日目の担当です。はじめに前編では VM Sandboxing を見ていきました。後編では ESXi 8.0 の Daemon Sandboxing を見ていきます。 Daemon Sandboxing vSphere 8 では仮想マシンだけでなく ESXi 上の各種プロセスも Sandbox ドメイン内で実行させるようになっており、最小限の権限のみをプロセスに付与することでセキュリティを高めています。 What’s New in vSphere 8? | VMware Sandboxed Daemons: ESXi 8.0 daemons and …

【前編】Sandbox による ESXi の保護: VM Sandboxing in ESXi 6.5

Dec 8, 2022 · 8 min read · vSphere ESXi Security ·

Share on:

【前編】Sandbox による ESXi の保護: VM Sandboxing in ESXi 6.5

本記事は vExperts Advent Calendar 2022 の８日目の担当です。はじめに ESXi には SELinux や AppArmor に似た強制アクセス制御の機能が実装されており、最新の ESXi 8.0 では各種プロセスからアクセスできるリソースや実行可能な処理を最小限に絞っています。これにより、悪意のあるユーザーが脆弱性を攻撃してプロセスを乗っ取っても、乗っ取られたプロセスを利用した攻撃の影響範囲が最小限に絞られることになります。この強制アクセス制御の機能は vSphere 6.5 や 8.0 の What’s new では Sandbox と呼称されています。以下は vSphere 6.5 で実装され …

不正な VIB のインストールからのセキュアブートによる ESXi の保護

Oct 8, 2022 · 3 min read · vSphere ESXi Security ·

Share on:

背景先日、VMware社およびMandiant社より、vSphere を標的とする新しい種類のマルウェア(VirtualPITA、VirtualPIE、VirtualGATE)に関する記事が公開されました。この記事のマルウェアの興味深いところとして、ESXi のソフトウェアパッケージである VIB にマルウェアがパッケージングされている点が挙げられます。 Protecting vSphere From Specialized Malware Bad VIB(E)s Part One: Investigating Novel Malware Persistence Within ESXi Hypervisors 具体的には以下のよう …

execInstalledOnly による ESXi での信頼できないバイナリの実行防止

Sep 21, 2022 · 2 min read · vSphere ESXi Security ·

Share on:

execInstalledOnly による ESXi での信頼できないバイナリの実行防止

はじめに先日 vSphere 8 が発表されましたが、その What’s New の中で ESXi 8.0 では execInstalledOnly 起動オプションがデフォルトで有効になるとの記載を確認しています。 What’s New in vSphere 8? Prevent execution of untrusted binaries: ESXi 8.0 will turn on the execInstalledOnly option by default. This prevents the execution of binaries that are not installed via a VIB. 以前の TPM …

ESXi の構成情報の暗号化、TPM による追加の保護、TPM 障害からの復旧

Aug 2, 2022 · 3 min read · vSphere ESXi Security Troubleshooting ·

Share on:

ESXi 7.0 Update 2 以降での構成情報の暗号化 ESXi 7.0 Update 2 以降では、ブートディスクの盗難などから ESXi を保護するために構成情報が暗号化されるようになっています。 ESXi 構成をセキュアにする ESXi は、構成ファイルにシークレットを格納します。これらの構成は、アーカイブファイルとして ESXi ホストのブートバンクに保持されます。vSphere 7.0 Update 2 以降、このアーカイブファイルは暗号化されています。その結果、たとえ ESXi ホストのストレージに物理的にアクセスできたとしても、攻撃者はこのファイルを直接読み取ったり、変更したりすることはできません。以前のリ …

「偽装転送」ポリシーでフレームがドロップされる仕組み

Mar 6, 2022 · 3 min read · vSphere ESXi Network Security ·

Share on:

はじめに今回の記事では仮想スイッチの「偽装転送」ポリシーについて動作の概要や、ポリシー違反が発生する具体的なケースを見ていきます。「偽装転送」ポリシーにより仮想マシンから送信されるフレームの送信元 MAC アドレスのなりすましを防ぐことが可能になります。ただし、特定のネットワーク構成では本ポリシーを「承諾」とする必要があります。「偽装転送」ポリシー「偽装転送」ポリシーは仮想マシンから送出されるフレームのうち、送信元 MAC アドレスが書き換えられているフレームをドロップする機能です。具体的には以下の2つの MAC アドレスが一致しない場合は仮想マシンから送信されるフレームをドロップします。送出されたフレームの送信元 MAC …

初期 MAC アドレス、有効な MAC アドレス、「MAC アドレス変更」ポリシー

Feb 23, 2022 · 2 min read · vSphere ESXi Network Security ·

Share on:

初期 MAC アドレス、有効な MAC アドレス、「MAC アドレス変更」ポリシー

概要 vSphere では仮想スイッチで利用可能なセキュリティポリシーとして以下の3種類があります。これらのセキュリティポリシーを使用することで、MAC アドレスのなりすましのような L2 レイヤーの攻撃からネットワークを保護できます。 MAC アドレス変更偽装転送無差別モード操作ただし、特定のネットワーク構成ではセキュリティポリシーの無効化が必要なケースがあります。セキュリティ機能が適切に構成されないと意図せずシステムに脆弱性を作り込んでしまう可能性もあるため、セキュリティ機能の仕様や動作を理解した上で適切に構成する必要があります。今回の記事では「MAC アドレス変更」のセキュリティポリシーと、 …

vc_log4j_mitigator.py での CVE-2021-44228 & CVE-2021-45046 への対処

Dec 26, 2021 · 4 min read · vCenter Server vSphere Security Vulnerability ·

Share on:

vc_log4j_mitigator.py での CVE-2021-44228 & CVE-2021-45046 への対処

概要 Log4j 2.x の脆弱性 (CVE-2021-44228 & CVE-2021-45046) が話題ですが、12/20 に vCenter Server に関する KB87081 と KB87096 が更新され、vc_log4j_mitigator.py の実行のみで対処が可能になっています。 Workaround instructions to address CVE-2021-44228 and CVE-2021-45046 in vCenter Server and vCenter Cloud Gateway (87081) Workaround instructions to address …