現在のすべての Oracle SPARC システムには、次の機能を持つ組み込みのシステムコントローラ (ILOM) が含まれています。
ファン速度やシャーシ電源などの基本的な環境制御の管理
ファームウェアアップグレードの有効化
制御ドメインへのシステムコンソールの提供
ILOM にはシリアル接続経由でアクセスすることも、SSH、HTTP、HTTPS、SNMP、または IPMI を使用してネットワークポート経由でアクセスすることもできます。Fujitsu M10 サーバーは、ILOM の代わりに XSCF を使用して同様の機能を実行します。
ILOM の制御を取得した攻撃者は、次の方法を含む多くの方法でシステムを危険にさらす可能性があります。
実行中のすべてのゲストからの電源の削除
少なくとも 1 つのゲストドメインへのアクセスを取得するための、操作されたファームウェアのインストール
これらのシナリオは、このようなコントローラデバイスを備えたすべてのシステムに適用されます。仮想化環境では、同じシステム格納装置に収容されている多くのドメインがリスクにさらされるため、物理環境に比べて損害がはるかに大きくなる場合があります。
同様に、制御ドメインまたは I/O ドメインの制御を取得した攻撃者は、対応する I/O サービスをシャットダウンすることによって、すべての依存ゲストドメインを容易に無効にすることができます。
ILOM は通常、管理ネットワークに接続されますが、BMC アクセスモジュールを備えた IPMI を使用して、制御ドメインから ILOM にアクセスすることもできます。そのため、これらの接続タイプの両方を適切に保護し、通常の本番ネットワークから分離するようにしてください。
同様に、攻撃者はネットワークから、または仮想化スタック内のエラーを使用してサービスドメインに侵入してから、ゲスト I/O をブロックしたり、システムのシャットダウンを実行したりできます。データが失われることも、改ざんされることもないため損害は限定されますが、その損害が多くのゲストドメインに影響を与える場合があります。そのため、潜在的な損害を限定するために、この脅威の可能性から保護するようにしてください。
ILOM は、システムサービスプロセッサとして、シャーシ電源、Oracle VM Server for SPARC の起動構成、および制御ドメインへのコンソールアクセスなどの重要な機能を制御します。次の対策を使用すると、ILOM をセキュリティー保護できます。
ILOM のネットワークポートを、実行環境内のドメインのために使用される管理ネットワークとは分離されたネットワークセグメント内に配置します。
HTTP、IPMI、SNMP、HTTPS、SSH など、動作には必要のないすべてのサービスを無効にします。
必要な権利のみを許可する専用および個人の管理者アカウントを構成します。管理者が実行したアクションの説明責任を最大化するために、個人の管理者アカウントを作成するようにしてください。このタイプのアクセスは、コンソールアクセス、ファームウェアアップグレード、および起動構成の管理にとって特に重要です。