例によって、とりあえず走り書き。

[C-6] 仮想化システムのインフラに向けたセキュリティ実装

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
セキュリティ・コンサルティング本部 本部長 卯城 大士氏

  • 仮想化環境におけるセキュリティ
  • VPN-1 Power VSX … 単一ハードウェア上で仮想ルータ、スイッチ、VPN-1 を構成
  • VPN-1 VE … VMware ESX 環境におけるバーチャルアプライアンス

仮想化新技術による新たな脅威

  • セグメントの消失 (特定のハードウェアに依存しないため、柔軟だがセキュリティ面の課題が増える)
  • VM にセキュリティパッチがインストールされていないものがあっても、外部から検出できない
  • 物理的にサーバを移動されても外部からは検出できない

VPN-1 VE

  • VMware VMotion に対応したファイアウォールセキュリティ
  • ESX Server Active / Standby 間で常時ステータスを sync している (Vswitch sync)/li>
  • Standby にアプリケーションサーバが移動しても、Vswitch でのセキュリティチェックを必ず通過する

Misc

  • VMsafe … VM 内ではなく、VMware infrastructure 上で低レイヤで動作するセキュリティAPI
  • VPN-1 Power VSX: 同一物理サーバ内、複数ポリシーのセキュリティ管理
  • CheckPoint 製品は EAL4 準拠