Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第8章 sVirt

sVirt は、SELinux と仮想化を統合する Red Hat Enterprise Linux に含まれるテクノロジーです。sVirt は Mandatory Access Control(MAC)を適用し、仮想マシンの使用時にセキュリティーを強化します。これらの技術を統合する主な理由は、セキュリティーを改善し、ホストまたは他の仮想マシンに攻撃ベクトルとして使用される可能性があるハイパーバイザー内のバグに対してシステムを強化することです。
本章では、sVirt が Red Hat Enterprise Linux で仮想化テクノロジーと統合する方法を説明します。

非仮想化環境

非仮想化環境では、ホストは物理的に相互を分離しており、各ホストには Web サーバーや DNS サーバーなどのサービスで構成される自己完結型の環境があります。これらのサービスは、独自のユーザースペース、ホストカーネル、物理ホストと直接通信して、ネットワークに直接サービスを提供します。以下の図は、非仮想化環境を示しています。

仮想化環境

仮想化環境では、1 台のホストカーネルと物理ホスト内に複数のオペレーティングシステムを(ゲストとして)配置できます。次のイメージは、仮想化環境を表しています。

8.1. セキュリティーおよび仮想化

サービスが仮想化されていない場合は、マシンは物理的に分離されています。ネットワーク攻撃の明らかを除き、通常、エクスプロイトは通常影響を受けるマシンに含まれます。仮想化環境でサービスをグループ化すると、システムに追加の脆弱性が発生します。ハイパーバイザーに、ゲストインスタンスにより悪用される可能性のあるセキュリティー脆弱性がある場合、このゲストはホストだけでなく、そのホストで実行されている他のゲストも攻撃される可能性があります。これは理論上ではなく、攻撃はハイパーバイザーにすでに存在します。これらの攻撃はゲストインスタンスを超えて拡張し、他のゲストを攻撃に公開できます。
sVirt は、ゲストを分離し、悪用した場合にさらなる攻撃を開始する機能を制限する作業です。これは、以下の図で示しています。この場合、攻撃は仮想マシンから抜けなくなり、別のホストインスタンスに拡張できません。
SELinux では、Mandatory Access Control(MAC)の実装で、仮想インスタンス用のプラグ可能なセキュリティーフレームワークが導入されました。sVirt フレームワークにより、ゲストとそのリソースを一意にラベル付けできます。ラベルを付けてルールを適用でき、異なるゲスト間のアクセスを拒否することができます。