概要
Trend Micro Deep Security では Deep Security Virtual Appliance(以下、DSVA)や Deep Security Agent(以下、DSA)でゲストOSの保護ができますが、ESXサーバ自体のセキュリティ対策はできますか。
詳細
DSVA には ESX サーバ自体を保護する機能は実装されていません。
また、DSA は ESXサーバ自体のハイパーバイザにインストールする事はできません。
ESXサーバのハイパーバイザには、非常に限られたモジュールのみがインストールされており、可能な通信も限られているため、それ自体が非常にセキュアなシステムです。また、現時点ではネットワーク経由でESX自体へのリモート攻撃が可能な脆弱性は発見されておらず、今後も該当するような脆弱性が発見される事は稀であると考えられます。
一方で、ゲストOSについては多数のコンポーネントがインストールされており、ネットワーク経由でリモート攻撃可能な脆弱性が頻繁に見つかっています。
このため、ゲストOSの脆弱性が攻撃され、ゲストOS上からベースのESXサーバの脆弱性がつかれハイパーバイザにアクセスが行われる「VM escape」攻撃が発生するリスクが考えられます。Deep Securityでは、ゲストOSを保護する事で「VM escape」のリスクを低減する事ができます。
