vCloud環境でのAgentレスによる保護の実施

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

VMware vCloudとの統合により、マルチテナント環境内のプライマリテナントは、Deep Security ManagerへのvCenterの追加、コネクタの構成、Deep Security Virtual Applianceの配置および管理を行うことができるようになります。テナントは、vCloud Organizationをクラウドアカウントとしてインポートして、AgentレスによるDeep Securityの保護をアカウントに適用できます。

このトピックの内容:

開始前の準備

  • この表で、サポートされているNSXのライセンスとバージョンを確認します。
  • システム要件を確認します。
  • 必要な機能をAgentレスで利用できない場合は、「コンバインモード」を使用します。
  • ゲスト仮想マシンがネットワークカードに直接アクセスできるように設定した場合は、それらの仮想マシンにAgentをインストールしてください。この場合は、パケットをインターセプトすることができないため、ゲスト内にAgentをインストールすることをお勧めします。以下を参照してください。Agentレスによる保護またはコンバインモードの保護の選択詳細については、

vCloud仮想マシンのAgentレスによる保護を有効にする

  1. Deep Security Managerコンソールで、[管理]→[システム設定]→[Agent] の順に選択します。
  2. [ApplianceによるvCloud仮想マシンの保護を許可] チェックボックスをオンにします。
  3. [保存] をクリックします。

マルチテナント環境を作成する

マルチテナント環境を作成するために必要なタスクは、主に2つあります。マルチテナントの有効化とテナントの作成です。これらのタスクの実施方法に関する詳細な手順、マルチテナント環境の要件と推奨事項については、マルチテナント環境の設定を参照してください。

vCenterを追加してDeep Security Virtual Applianceを配置する

プライマリテナントでvCenterを追加し、Deep Security Virtual Applianceを配置する必要があります。手順については、NSX AdvancedまたはEnterpriseへのDeep Security Virtual Applianceのインストールを参照してください。

Deep SecurityでVMware vCloudリソースを使用できるように設定する

Deep Securityとの統合のためのVMware vCloudリソースを設定するには

vCloudアカウントのテナントユーザ向けの最小権限のロールを作成する

vCloud Directorで作成するユーザアカウントは、Deep SecurityのテナントがDeep Security Managerにクラウドアカウントを追加するために使用します。このアカウントには [All Rights]→[General]→[Administrator View] の権限のみ必要です。

  1. vCloud Directorにログインします。
  2. [System] タブで [Administration] をクリックします。
  3. 左側のナビゲーションパネルで [Roles] をクリックします。
  4. 「プラス」記号 (+) をクリックして新しいロール (「DS_User」など) を作成します。
  5. [All Rights]→[General] フォルダの [Administrator View] 権限を選択します。
  6. [OK] をクリックします。

このロールが割り当てられたDeep Securityユーザは、vCloudリソースをDeep Security Managerにインポートできます。

Deep Securityのユーザにこの資格情報を提供する際は、vCloud OrganizationのIPアドレスも通知してください。また、vCloudのリソースをDeep Security Managerにインポートする際は、ユーザ名に「@orgName」を含めるように指示してください。たとえば、vCloudアカウントのユーザ名がuserで、アカウントのアクセス権を付与されたvCloud OrganizationがCloudOrgOneである場合、Deep Securityのユーザは、vCloudのリソースをインポートするときにユーザ名として「user@CloudOrgOne」と入力する必要があります。(vCloud管理者の場合、@systemを使用します)。
クラウドアカウントで保護されているインスタンスへの接続にプロキシサーバを使用するよう、Deep Security Managerを設定できます。プロキシ設定は、[管理]→[システム設定]→[プロキシ]→[プロキシサーバの使用]→[Deep Security Manager (クラウドアカウント)] で行います。

新しい仮想マシンに一意のUUIDを割り当てる

Deep Securityでは、保護対象のすべての仮想マシンに一意のUUIDを割り当てる必要があります。vAppテンプレートから作成した仮想マシンにはUUIDを重複して割り当てることができるため、問題が発生する場合があります。一意のUUIDを割り当てるようにvCloudデータベースを設定するには、 のVMware Knowledge Baseの記事2002506の後に、 CloneBiosUuidOnVmCopy プロパティをゼロ(0)に設定します。

ゲスト仮想マシンでVMware Toolsの [OVF Environment Transport] を有効にする

ゲスト仮想マシンでVMware Toolsの [OVF Environment Transport] を有効にすると、guestInfo.ovfEnv環境変数がDeep Security Managerに公開され、Agentで仮想マシンを一意に識別することが容易になります。これにより、仮想マシンの誤認リスクが低減されます。

  1. vCloud Directorで仮想マシンの [Properties] 画面を開き、[Guest OS Customization] タブに進んで [Enable guest customization] チェックボックスをオンにします。[OK] をクリックします。
  2. vCenterで同じ仮想マシンを選択し、[Properties] 画面を開いて [Options] タブに進みます。
  3. [vApp Options] をクリックし、[Enabled] オプションを選択します。これで [OVF Settings] が公開されます。
  4. [OVF Settings] で、[OVF Environment Transport] エリアの [VMware Tools] チェックボックスをオンにします。[OK] をクリックします。

仮想マシンが実行中の場合は、変更を有効にするために再起動する必要があります。

Deep Securityで使用されるデータは、プロパティvmware.guestinfo.ovfenv.vcenteridおよびvmware.guestinfo.ovfenv.vcloud.computernameから取得されます。

仮想マシンでVirtual Appliance保護を有効にする

仮想アプライアンスの保護を有効にするには、テナントがvCloud Organizationアカウントをインポートし、エージェントレスDeep Security保護を適用する必要があります。

vCloud組織アカウントはテナント別に追加する必要があります(プライマリテナントではない).

VMware vCloud Organizationアカウントからコンピュータをインポートする

  1. Deep Security Managerで、[コンピュータ] セクションに移動し、ナビゲーションパネルで [コンピュータ] を右クリックし、[vCloudアカウントの追加] を選択してvCloudアカウント追加ウィザードを開きます。
  2. 追加するリソースの名前説明を入力します (Deep Security Managerでの表示に使用されます)。
  3. vCloudのアドレスを入力します (vCloud Directorホストコンピュータのホスト名です)。
  4. ユーザ名パスワードを入力します。
    ユーザ名は、username@vcloudorganizationの形式にします。
  5. [次へ] をクリックします。
  6. Deep Security Managerは、クラウドリソースへの接続を確認し、インポート処理の概要を表示します。[完了] をクリックします。

VMware vCloudのリソースが、Deep Security Managerのナビゲーションパネル内の [コンピュータ] の下に、それぞれ別個の項目として表示されます。

VMware vCloud Air仮想データセンターからコンピュータをインポートする

  1. Deep Security Managerで、[コンピュータ] セクションに移動し、ナビゲーションパネルで [コンピュータ] を右クリックし、[vCloudアカウントの追加] を選択してvCloudアカウント追加ウィザードを開きます。
  2. 追加するVMware vCloud Air仮想データセンターの名前説明を入力します (Deep Security Managerでの表示に使用されます)。
  3. VMware vCloud Air仮想データセンターのアドレスを入力します。
    VMware vCloud Air仮想データセンターのアドレスを確認するには、次の手順を実行します。
    1. VMware vCloud Airポータルにログインします。
    2. [Dashboard] タブで、Deep Securityにインポートするデータセンターをクリックします。[Virtual Data Center Details] 情報画面が表示されます。
    3. [Virtual Data Center Details] 画面の [Related Links] セクションで、[vCloud Director API URL] をクリックします。vCloud Director APIの完全なURLが表示されます。
    4. Deep SecurityにインポートするVMware vCloud Air仮想データセンターのアドレスとして、完全なURLのうちホスト名の部分だけを使用します。
  4. ユーザ名パスワードを入力します。
    ユーザ名は、username@virtualdatacenteridの形式にします。
  5. [次へ] をクリックします。
  6. Deep Security Managerによって仮想データセンターへの接続が確認され、インポート処理の概要が表示されます。[完了] をクリックします。

VMware vCloud Airのデータセンターが、Deep Security Managerのナビゲーションパネル内の [コンピュータ] の下に、それぞれ別個の項目として表示されます。

仮想マシンでVirtual Appliance保護を有効にする

Virtual Appliance保護を有効にするには、[コンピュータ] リストで仮想マシンを右クリックし、[処理]→[有効化] をクリックします。