仮想 SCSI、仮想イーサネット、 および共用イーサネット・アダプターに関するセキュリティー上の考慮事項と、使用可能な追加セキュリティー・オプションを検討します。
バーチャル I/O サーバーのシステム・セキュリティー設計計画では、次のセクションで説明する標準セキュリティー機能を考慮する必要があります。次に、追加のセキュリティー管理が必要かどうか判断してください。 必要な場合、バーチャル I/O サーバーの保護で説明している VIOS セキュリティー機能を考慮してください。
POWER5™ サーバー・システムの設計において行われたアーキテクチャー上の機能拡張により、区画間でのデバイス共用と通信が可能になりました。動的 LPAR、共用プロセッサー、仮想ネットワーキング、バーチャル・ストレージ、およびワークロード・マネージメントなどの機能はすべて、システム・セキュリティー要件を確実に満たすための機能が必須です。区画間フィーチャーおよび仮想化フィーチャーは、これらの機能によって暗黙的に含まれる内容を超えるいかなる機密漏れも生じないように設計されています。例えば、バーチャル LAN 接続は、物理ネットワーク接続と同一のセキュリティーの考慮事項を持ちます。ハイ・セキュリティー環境では、区画間仮想化フィーチャーを使用する方法を慎重に考慮する必要があります。区画間の可視性は、管理システム構成の選択を通じて意識的に使用可能にされなければなりません。
仮想 SCSI をバーチャル I/O サーバー上で使用することにより、バーチャル I/O サーバーはクライアント・区画にストレージを提供することができます。ただし、この機能の接続は、SCSI またはファイバー・ケーブルではなく、ファームウェアによって行われます。 バーチャル I/O サーバーの仮想 SCSI デバイス・ドライバーおよびファームウェアによって 、バーチャル I/O サーバーのシステム管理者のみが、バーチャル I/O サーバーのストレージ・デバイス上のデータにアクセスできる区画に対する制御権をもつことができます。例えば、バーチャル I/O サーバー区画によって エクスポートされた論理ボリューム「lv001」にアクセスできるクライアント区画は、「lv002」にアクセスできません。たとえそれが同じボリューム・グループ内にある場合であってもです。
仮想 SCSI と同様に、ファームウェアは、 仮想イーサネットの使用時に区画間の接続も行います。 ファームウェアは、イーサネット・スイッチ機能を備えています。 外部ネットワークへの接続は、バーチャル I/O サーバーの共用イーサネット・アダプター機能が提供します。 バーチャル I/O サーバーのこの部分は、物理アダプターへのレイヤー 2 ブリッジとして機能します。 VLAN ID タグは、あらゆるイーサネット・フレームに挿入されます。 イーサネット・スイッチは、その VLAN ID のフレームを受け取る許可を得ているポートに、フレームを限定します。 イーサネット・スイッチ上のすべてのポートは、 いくつかの VLAN のメンバーとなるように構成できます。 フレームを受け取れるのは、同じ VLAN に属するポート (仮想または物理) に接続された ネットワーク・アダプター (仮想および物理の両方) のみです。 この VLAN 標準のインプリメンテーションにより、区画は制限されたデータには アクセスできない、ということが保証されます。