ライブマイグレーションは、Hyper-V管理における日常業務の1つです。Hyper-V管理者として、仮想マシンがマイグレーションを実行するための安全な環境を確保するために、Hyper-Vデプロイメントを適切に構成することが重要です。
最も重要な決定事項の1つは、VMライブ・マイグレーションのセキュリティを確保するための認証プロトコルの選択です。マイクロソフトでは、Kerberos と Credential Security Support Provider の両方をオプションとして提供しています。Kerberos は CredSSP よりも安全で、CredSSP 認証のシングルホップの制限を受けません。
これは、CredSSP プロトコルが Kerberos ほど安全でないことと、シングルホップ制限によって多くの論理的課題が発生するためです。マイクロソフトがなぜこのプロトコルをオプションとして残しているのか不思議に思うかもしれません。
実装移行は、Hyper-Vサーバーがドメインに参加した後にのみ実行できます。ほとんどの場合、ライブマイグレーションをサポートする必要があるHyper-Vサーバーは、一般的なActive Directoryフォレストのメンバーです。この場合、一般的なドメイン、または一般的なADフォレスト内のサーバーを認証するのに有効なKerberosベースの認証を使用する必要があります。
Hyper-Vサーバーは、共通のADフォレストに配置されていなければ意味がありません。Microsoftは、Windows Server 2012およびWindows Server 2012 R2を、オンデマンドでライブマイグレーションできるように設計しました。たとえば、仮想マシンを単一のHyper-VサーバーからHyper-Vクラスタにライブマイグレーションできます。同様に、仮想マシンを1つのホストクラスタから別のホストクラスタにライブマイグレーションできます。
このような場合、Hyper-Vサーバーが特定の汎用フォレストに属していない可能性があります。たとえば、開発環境のフォレストから本番環境のフォレストに仮想マシンを移行する必要がある場合があります。この場合、可能な限りKerberos認証を使用する必要があります。ただし、Kerberosはフォレスト間に信頼関係がある場合にのみ機能します。フォレスト間に信頼関係がない場合は、CredSSP のみを使用できます。
CredSSP によって認証情報がリモートコンピュータに送信され、認証プロセスが完了します。問題は、これらのリモートコンピュータが人質になると、これらのクレデンシャルも人質になることです。マイクロソフトの定義によると、これらのクレデンシャルを使用してリモートセッションを制御することができます。
仮想マシン実装移行トラフィックセキュリティの分離と強化
実装マイグレーションのセキュリティを強化するもう一つの方法は、ライブマイグレーションに専用ネットワークを使用することです。これには多くの利点があります。第一に、プライベート・ネットワークを使用することで、ライブ・マイグレーション・トラフィックが他の種類のネットワーク・トラフィックと競合しないため、ライブ・マイグレーションのパフォーマンスが向上します。第二に、インプリメンテーション・マイグレーションが非専用のネットワーク・セグメントにさらされないため、インプリメンテーション・マイグレーション・プロセスがより安全になります。
Windows Server 2012 または 2012 R2 Hyper-V が稼動しているサーバー上で実装移行を構成する場合、実装移行には利用可能なネットワークまたは任意の IP アドレスを使用できます。
実装移行に専用ネットワークを使用する場合、そのネットワークは専用のIPアドレスセグメントを持つ必要があります。例えば、192.168.1.0/16の形式で入力されたネットワークです。
もう1つできることは、特定のHyper-VホストのIPアドレスを入力することです。アドレスを入力すると、特定のソース・アドレスからのライブ・マイグレーション・トラフィックを受け入れる許可をHyper-Vに与えます。もちろん、誰かが悪意のあるVMをHyper-Vホストにライブマイグレーションすることは避けたいでしょう。ですから、信頼できるHyper-VサーバーのIPアドレスを切り分けて、そこからのライブマイグレーショントラフィックを受け入れるようにすべきです。
このように、Hyper-V向けの仮想マシンのセキュアなライブマイグレーションを展開する際に考慮すべきセキュリティ***プラクティスは数多くあります。プラクティスとして、可能な限りKerberos認証を使用する必要がありますが、Kerberos認証が悪用されないように、制限付き認証も使用する必要があります。また、仮想マシンのライブマイグレーションには専用のネットワークを使用し、ライブマイグレーションプロセスに参加できるホストを個別に指定することをお勧めします。
