自然の赴くままに・そのときの 気分次第で・なんとなく

自分がその時その時に興味を持ったことを、なんとなく気の向くままに書いているブログです。

VMware 製品のセキュリティの脆弱性に関する情報を確認するには

VMware 製品でも頻繁にセキュリティに対する脆弱性が頻出するように

例えば昔は vSphere はカーネルのコア部分のフットプリントが小さくソースも小さいので、脆弱性が入りにくくアップデートもほとんどないとかアピールしていた時代がありました。よくこんな絵が描かれた資料が出ていたと思います。

f:id:imaisato:20211122081504p:plain

ハイパーバイザー比較の絵

そして、こんな表もよく使われていました。

f:id:imaisato:20211122081615p:plain

セキュリティパッチとホスト再起動

しかし、vSphere も 6.7 から 7 に変わり vSphere 周りも カーネルのドライバーは Linux から、vCenter Server は Windows から離れてはいったけれど、各機能が仮想マシンで動くようになりアプライアンスになっていったことで、逆に Linux に依存する部分が非常に増えていきました。つまり以前のようにゆったり構えていて再起動が必要なパッチについても緊急ではない限り自分たちのインフラのスケジュールで当てればよいという感じで運用していたことも多かったのではないかと思いますが、今では頻出するセキュリティの脆弱性に対しインパクトも大きいのが多くなっていった結果、可能な限り早い時点でセキュリティの脆弱性に対する情報を取得して対処するということが必要になってきました。枯れた技術だから安心だと思っていた vSphere も例外ではなく、セキュリティの脆弱性で Update のリリースが遅れたりとかも起きるようになってきていますし、特に Linux ベースの vCenter Server Appliance は、Linux で見つかる脆弱性に引きずられて頻繁にセキュリティの脆弱性が出てくるようになっています。

どこでセキュリティの脆弱性情報を得ればよいのか

最近では IT ニュースで大きなセキュリティの脆弱性は露呈するようになって、少し前ではそれから対策が打たれていましたが、最近は露呈するときには対策方法も一緒にアナウンスされることも多くなりました。しかし、セキュリティの脆弱性は以前よりリスクとしてのレベルが上がってきているため、できればセキュリティの脆弱性が確認された時点で情報として知っておきたいものです。

VMwareではそのための情報提供場所として「VMware Security Advisories」というページを用意しています。

www.vmware.com

ここにアクセスすることで、VMware 製品でセキュリティの脆弱性があるものについては情報をすぐに確認することができます。情報は VMware の管理コードである「VMSA-yyyy-nnnn」と、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)の CVE識別番号(CVE-ID)で確認することができ、市場で CVE-ID が出ているものについて、VMware 製品ではどうなのかということを探すことができます。そして、各セキュリティの脆弱性については VMSA コードのリンクをクリックすることで、4つの色で緊急度を知ることができます。

f:id:imaisato:20211122083728p:plain

LOW

f:id:imaisato:20211122083818p:plain

Moderate

f:id:imaisato:20211122083843p:plain

Important

f:id:imaisato:20211122083905p:plain

Critical

f:id:imaisato:20211122084236p:plain

リスト表示例

またメールによる通知を受け取ることもできます。以下の場所からメールアドレスを登録することで、セキュリティの脆弱性に対する注意事項の追加や更新の通知を E メールで受信できるようになります。

f:id:imaisato:20211122084335p:plain

Security Advisories への登録

セキュリティ事故は会社への被害も大きくなりますし、そしてインフラを運用管理している私たちに対しても心配事の一つです。少しでも早く情報をキャッチして対処していくための情報公開があるというのは心強いですよね。