VMware vSphereとプラットフォーム・セキュリティー
-
Upload
naruhide-tonesaku -
Category
Technology
-
view
240 -
download
1
description
Transcript of VMware vSphereとプラットフォーム・セキュリティー
© 2014 IBM Corporation
東根作成英とねさく なるひで
@Tonesaku
第1回 Re-Virtualize Night
2
vSphere 4.x以降でIntel TXT(Trusted Execution Technology)とTPM (Trusted Platform Module)を使ったTrusted Boot (Measured Boot)に対応
vSphere 5.xではデフォルトでTXT/TPMを使う設定に
ハイパーバイザーの改ざんによるセキュリティー・リスクを抑制
vSphereとIntel TXT
3
その割に、ハードウェアやプラットフォームに対するセキュリティーに無頓着
–重要なセキュリティー事故が起きていない
–見えないリスクにお金を払いたくはない
–だからTPMなにそれおいしいの?
日本人はセキュリティーに厳しい
4
ITプラットフォームのセキュリティー
トップダウン防御
攻撃される可能性
SQLインジェクション攻撃,
データベース攻撃、パスワード・アタック、
OSレベルのファイル共有リスク等
Rootkits, Bootkits
BIOSやBMCに対する改ざんファームウェアによる攻撃、
流通過程での攻撃
管理者用インターフェースからのサービス・プロセッサーへの攻撃
従来のトップダウン・セキュリティー・アプローチ
H/W
Firmware
Hypervisor
OS
App
ボトムアップを加えて包括的なセキュリティー・アプローチ
Firmware
App
OS
Hypervisor
H/W
ボトムアップ防御
5
ハードウェアに対するセキュリティ懸念
開発/工場 倉庫
データセンター
メーカー作成ファームウェアのバグ
による脆弱性はないだろうか
製造におけるファームウェア書き込み工程に
リスクはないだろうか
第三者により流通過程で改ざんファームウェアが
仕込まれないだろうか
脆弱性や人為的ミス、悪意による情報漏えいを防ぐ必要がある
6
5月のニュース
http://www.itmedia.co.jp/news/articles/1405/15/news096.html
7
信頼のルートはハードウェア
参考: http://www.ibm.com/systems/jp/x/manual/2011/1111/uEFI1AAD001.pdf
TPMとCRTMの連携により、電源投入時にファームウェアの改ざんを検出 「セキュア・ブート(Verified Boot)」
※) Core Root of Trust for Measurement
8
サーバーのTPM大事–オプションならいれとく
Intelのテクノロジー大事–Intel TXT (uEFI/BIOS設定要確認)
–Intel BIOS GUARD
サーバー入れるとき気をつけること
9
ESXi 5.1 with patch ESXi510-201407001 and ESXi 5.5 Update 2 might fail to boot if TXT is disabled but TPM is enabled in the system BIOS of the host with Intel Xeon processor E5 v3 series
Some systems with Intel Xeon processor E5 v3 series might expose BIOS options for both Trusted Platform Module (TPM) and the Trusted Execution Technology (TXT) features. On such systems, the ESXi host might fail to boot if TXT is disabled but TPM is enabled in the BIOS. This issue occurs as the ESXi host needs both the features to be disabled in the BIOS for a successful boot.Workaround: Ensure that TPM is disabled along with TXT in the BIOS during the configuration of the system BIOS.
KB: 2087032
10