企業における仮想化アプリケーションの実際のプロセスでは、以下のような効果的な推奨事項に従う必要があります:
ユーザーは、クラウドプラットフォームプロバイダーが使用している仮想化の種類(もしあれば)を確認する必要があります。
実装者は、パーティショニングによって、本番環境とテスト/開発環境および機密性の高いデータ/ビジネスを分離することを検討する必要があります。
パフォーマンスには大きなばらつきがあるため、実装者は仮想マシンセキュリティツールのテストやインストール時にパフォーマンスを考慮する必要があります。仮想化を意識したサーバおよびネットワーク・セキュリティ・ツールを検討することも同様に重要です。
仮想化環境では、ユーザーは主要ベンダーとのライセンス契約を評価し、交渉し、改善する必要があります。
各ゲストインスタンスにハイパーバイザーベースのAPIを持つハード化されたソフトウェアまたは組み込みVMを採用することで、実装者は各仮想化オペレーティングシステムを保護する必要があります。
仮想化されたオペレーティング・システムには、追加のセキュリティ対策を内蔵し、サードパーティのセキュリティ技術をフルに活用して階層的なセキュリティ管理を実現し、プラットフォーム・ベンダーへの単独依存を減らすべきです。
管理者は、デフォルト設定において、セキュリティ対策が現在の業界ベンチマークを満たすか、それを上回ることを確認する必要があります。
実装者は、使用されていないVM Imageを暗号化する必要があります。
サーバ、ストレージなどの物理的なハードウェアを分離して、アプリケーション、生産段階、データの機密性を特定することで、実装者は仮想マシンのセキュリティゾーンを分離して確立することの有効性と実現可能性を検討する必要があります。
導入者は、セキュリティ脆弱性評価ツールやサービスが、採用した仮想化技術に対応していることを確認してください。
実装者は、VMと環境間のデータ分類と管理を強化する手段として、組織全体でデータの自動検出とタグ付けスキームの採用を検討すべきです。
実装者は、パッチが適用されるまでの間、動作していないVMに対するパッチ適用作業や、動作しているだけのVMに対する他の保護手段を検討すべきです。
実装者は、仮想マシンの外部にあるユーザー向けの管理インタフェースを保護するために、どのような適切なセキュリティ管理が使用されるかを理解する必要があります。
ハイパーバイザーAPIに組み込まれたVM固有のセキュリティ・メカニズムを使用して、従来のネットワーク・セキュリティ制御では見えない粒度レベルでVMバックプレーン間のトラフィックを監視する必要があります。
仮想化がもたらす新たなセキュリティ課題に対応するために、実装者はセキュリティ・ポリシーを更新する必要があります。
実装者は、VMがアクセスするデータをポリシーベースのキー・サーバを通じて暗号化する必要があります。
ユーザは、VMがマルチテナント環境にあり、規制によってVMの分離が保証される必要があることを認識する必要があります。
ユーザは、サードパーティから提供されたVMイメージやテンプレートの出所と整合性を確認する必要があります。
仮想化オペレーティングシステムには、ファイアウォール、ホスト侵入防御システム、ネットワーク侵入防御システム、ウェブアプリケーション保護、アンチウィルス、ファイル整合性チェック、ログ検出が含まれている必要があります。ファイアウォール、ホスト侵入防御システム、ウェブアプリケーション層保護、アンチウィルス、ファイル整合性監視、およびロギングを含む、個々の仮想マシンの適切なハードニングと保護は、各仮想マシンのゲストにソフトウェアを通じて提供されるか、またはハイパーバイザーベースの API と連携して組み込み VM によって利用されます。またはハイパーバイザーベースのAPIと連携して組み込みVMで利用することができます。
VM イメージを削除する場合、プロバイダはすべてのバックアップとフェイルオーバーバックアップシステムを空にする必要があります。
プロバイダーは報告メカニズムを持たなければなりません。報告機構は隔離の証拠を提供し、隔離が破られた場合に警告を発することができます。
