今回は
「仮想マシンのディスク統合が必要、と表示される話（余談：今度は本当にロックされていた）」

というタイトルでお送りします。

先日、「仮想マシンのディスク統合が必要、と表示される話」

というタイトルを書きましたが、、、

同じお客様の環境において、同月の間に、、、

また発生しました。。。

今回は、対象の仮想マシンのファイルが

ホストにロックされてしまっていることが

確認できたので、該当のホストで稼働している

仮想マシンを他のホストに退避して、

ホストの再起動を実施させて頂きました。。。

前回も書きましたが、、、ロックファイルを特定して、

プロセスを特定して・・・・・・と、いうのが面倒くさいもとい

トライアンドエラーを繰り返すよりも

ホスト再起動した方が、、「とてもとても早い」。。。ということが

往々にしてあるのですよ。。。

ちなみに、前回の記事はこちらです。

masaod94.hatenablog.com

尚、

前回の中で紹介した一番役に立つKBはこちらです。

kb.vmware.com

そういえば、同社の方が

「ディスク統合の話で面白いこと見つけた。」

と仰ってましたが、このネタも色々と掘り下げると

面白いことがマダマダ有りそうです。

（ニッチ過ぎますけどね。。。笑）

ご参考まで。

今回は

「Google Cloud VMware Engineの優位点」

というタイトルでお送りします。

いつものことながら

大層なタイトルで始めましたが、

ちょっと気になったので読みかじったり、聞きかじった程度で

いいんじゃないかな？と思った点について

備忘録的にまとめておこうと思います。

（昨年度珍しく、、、クラウドを触ってましたが、、、次本気で触れるのはいつなんだろう...？と思うので(笑、忘れないように。。）

GCVE・・・？と略していいんでしょうかね？

まぁ、良いとして頂いて、間違っていたら修正しますが、、、。

さて、本題です。

GCVEは、、、

なんと、、、

ホストの自動拡張を止めることができます！

日本の企業においては、これ結構重要だと思うんですよねー。

VMware Cloud on AWS（VMC）や Azure VMware Solutions（AVS）では回避できないのですが、

想定していない拡張で、予算以上の費用を取られるのは、、、

日本の企業においては厳しい。。。ので、

自動拡張の有無をユーザ側で制御できるようになってるのは非常にありがたいと思います。

まぁ、vSANを使っているのは上記の3つのソリューション全て同じなので、

vSANの推奨範囲（≒制限）の容量を超えたときに、

保全のために自動拡張するか、、、というのは悩ましいと

いうのはわかるんですけどね。。。

ちなみに、、vSANで容量のトラブルが起きると、、、というのは、

こちら（過去記事）をご参照ください。（発生すると本当に、、泣けます）

masaod94.hatenablog.com

逆に言うと、

デメリットとして（すでにお気づきだと思いますが）

GCVE以外の他では起こらないはずの

上記に引用したオンプレのvSAN障害と同じことが

起こりうるということです。

（自動拡張オフにしていれば、、、ですが）

ここは、どっちがいいのやら、、、ですね。

ホントに。

ご参考まで。

今回は、

「Workspace ONE UEMのアドレス」

というタイトルでお送りします。

VMware社より
「MUST READ: VMware Best Practices Update – Workspace ONE UEM SaaS IP update for CNｘｘｘｘ」

というタイトルのメールが来てたので、

「？？？」と思いながら、MUST READ...と書いてあるし読まないといけないよなーと、

中身を見たところUEMのアドレス範囲が変わる、、、ということの様ですね。

って、タイトルにも書かれてましたが。。。

原因としては、こちらのKBに書かれていますが、英語しかないんですよね。。

kb.vmware.com

拙い英語力で読んでますが

VMC on AWSで動作させている全てのUEMでAWS CloudFrontを導入していて、

AWSが提示している推奨事項に準拠するため・・・？なんですかね。

docs.aws.amazon.com

ひとまず、影響は

「IP変わるから接続先を明示的に許可しなければいけない環境なら変更してね。

　やらないと、Workspace ONE UEM の利用に影響がでるかもしれないよ。

　ちなみに、こういうことがあるからIPではなくDNSで解決できるように
　することを推奨してるよ。

　（さらにちなみに）CLOUDFRONTは頻繁にIP変わるよ！！」

ということですね。

ということで、次は対策。

許可が推奨されるDNSを以下の場所から確認して許可をする。

「Groups & Settings > All Settings > System > Advanced > Site URLs.」

うーん、、、環境によってですが、

こういう端末管理系の部門とネットワーク管理系の部門が分かれてしまっていたら

影響出てからでは変更に時間が掛かるでしょうし、

結構インパクト大きい気がしますね。

ご参考まで。

今回は

「ESXiArgs...はどの程度影響があるのか？」

というタイトルでお送りします。

世間様に喧嘩を売るようなタイトルで始めましたが、、、

影響があるというのは間違いありません。

少なくとも、Work Aroundは、、、「最優先タスクとして」実装しましょう。

とはいえ、2年前に対応しているWork Around...なので今更感バリバリですけどね。。。

ただ、、、このような脆弱性に対して、

どこまで緊急度を上げて対応するか、

というのは、メーカの方からは絶対にいってくれない話なので、

敢えて、『チャレンジ』して、どうなのか？？というのは議論をしたいと、

いつも思っています。

と、いうのも、

今回のようなハイパーバイザーの脆弱性。。。

これまでも当然ありましたが、

『いつも思うこと』がありまして。

「この脆弱性...管理インターフェイス叩けなければ、
干渉の仕様がないですよね？？？」

みたいな話です。

脆弱性がある製品は、その脆弱性を修正するようにするのが

当然なのですが、、、

その対応までにどこまで急がなければいけないのか？？

です。

「今すぐ、パッチを当てろ！！！」

確かに、正論です。

が、できますか？と聞かれて、「今すぐできます！とは言えません」よ。。。

という訳で、

前書きが長くなりました...が、

今回の件を例にどう考えるべきかの一助になれば、と思って書いてます。

ということで、考えるべきは、

下記だと思います。

・アタック方法

・利用する脆弱性

・アタック経路

（＋アタックされるインタフェース）

ここからは環境的な話...

・上記のアタックされるインタフェースにアクセスできる通信元

・アタック対象インタフェースとアクセス可能な通信元の間にあるネットワーク障壁

少なくともこの辺が判れば、

（少し。。。）待てるのか？、本当に危ないのか？が判定できるので、

この辺が整理された資料を見て、判断しましょう。

今回、言いたかった話はこの辺なんですが。

結論として、

大前提ですが、この辺を整理できていないようなら、

有事に備えて整理してください。

整理されていれば、これまでの苦労を無駄にしないように

有効に活用しましょう。

今回のESXiArgsは、、、

ハイパーバイザーの構造としても、管理インタフェースからしか侵入する経路はないと思うんですが、、、

侵入された上で攻撃されれば同じですが、直接攻撃されるよりは時間が稼げると思います。

ESXiをターゲットにしたランサムということで、

ニュースとしては視聴率？閲覧数？稼げるし、

話題にしたがるのはわかるんですけど、

日本のように社外に管理インタフェース基本出さない環境でどれだけの影響があるのか、、、とはいえ、放っておいていいとは絶対に言えませんが。

今回はここまで。

ご参考になれば。