本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
Applianceシャットダウン時のvNetwork動作の設定
オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。
このトピックは、Deep Security Manager 10.0をアップデートせずに使用している場合のみお読みください。このトピックで説明する問題は、10.0 Update 1以降では解決されています。
NSX Manager 6.3.0以降では、ネットワークに関する重要な変更があります。次の場合、保護対象のゲスト仮想マシンはvNetwork接続を失う可能性があります。
-
Deep Security Managerで、保護対象の仮想マシンに対して、Network Introspectionを使用できる次のいずれかの機能を有効にします。
- ファイアウォール
- IPS
- Webレピュテーション
そして、Deep Security Virtual Applianceを保護ソースとして選択します。
- ゲスト仮想マシンにNetwork Introspectionを提供するようにNSX 6.3.0以降を設定します。
-
ESXiサーバで、Deep Security Virtual Applianceが次のいずれかの状態です。
- 削除されてから再インストールされている
- 電源が切れている
- ds_agentサービスを使用できない
これは、(Applianceの保護が使用できない場合にネットワークトラフィックの続行を許可する) failOpenを設定しないと、NSX Manager 6.3.0以降は初期設定でフェイルクローズする (vNetworkを停止する) ようになったために起こります。Applianceが再起動したり、使用できない場合、NSXはこのポリシーオプションを適用します。
フェイルクローズにより、Applianceが停止し、vNetworkを保護していない間にセキュリティが侵害される危険性がなくなります。しかし、ダウンタイムは多くの組織にとって大きなリスクとなります。
中断されないvNetwork接続が必要な場合は、vSphereでfailOpenオプションを設定します。
- vSphere Web Clientで、[Home]→[Networking & Security]→[Service Definitions] に移動します。
-
[Trend Micro Deep Security] サービスをダブルクリックします。
-
[Service Instances] をクリックし、[Trend Micro Deep Security-GlobalInstance] をクリックします。
-
[Service Profiles] をクリックし、[Default (EBT)] をクリックしてTrend Micro Deep Securityサービスプロファイルの内容を表示します。
-
[Default (EBT)] で、[Settings] を選択してから [Edit] をクリックします。
-
[failOpen] の値に、「
true
」と入力してから [OK] をクリックします。 - [Publish] をクリックします。
- [Networking & Security]→[Service Composer]→[Security Groups] の順に選択します。
-
セキュリティグループを右クリックして、[Apply Policy] を選択します。
-
ポリシーがすでに配置されていて、ポリシーを修正する場合は、ポリシーを再送信するために、バインドを解除してから保護対象の仮想マシンのNSXセキュリティグループに再バインドする必要があります。セキュリティポリシーの選択を解除して、[OK] をクリックします。セキュリティポリシーを再度選択して、[OK] をクリックします。
ポリシーはすぐに再配置する必要があります。再配置するまで、ESXiサーバ上にあるすべての保護対象ゲスト仮想マシンのネットワーク接続は中断される可能性があります。