Applianceシャットダウン時のvNetwork動作の設定

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

このトピックは、Deep Security Manager 10.0をアップデートせずに使用している場合のみお読みください。このトピックで説明する問題は、10.0 Update 1以降では解決されています。

NSX Manager 6.3.0以降では、ネットワークに関する重要な変更があります。次の場合、保護対象のゲスト仮想マシンはvNetwork接続を失う可能性があります。

  1. Deep Security Managerで、保護対象の仮想マシンに対して、Network Introspectionを使用できる次のいずれかの機能を有効にします。

    • ファイアウォール
    • IPS
    • Webレピュテーション

    そして、Deep Security Virtual Applianceを保護ソースとして選択します。

  2. ゲスト仮想マシンにNetwork Introspectionを提供するようにNSX 6.3.0以降を設定します。
  3. ESXiサーバで、Deep Security Virtual Applianceが次のいずれかの状態です。

    • 削除されてから再インストールされている
    • 電源が切れている
    • ds_agentサービスを使用できない

これは、(Applianceの保護が使用できない場合にネットワークトラフィックの続行を許可する) failOpenを設定しないと、NSX Manager 6.3.0以降は初期設定でフェイルクローズする (vNetworkを停止する) ようになったために起こります。Applianceが再起動したり、使用できない場合、NSXはこのポリシーオプションを適用します。

フェイルクローズにより、Applianceが停止し、vNetworkを保護していない間にセキュリティが侵害される危険性がなくなります。しかし、ダウンタイムは多くの組織にとって大きなリスクとなります。

中断されないvNetwork接続が必要な場合は、vSphereでfailOpenオプションを設定します。

  1. vSphere Web Clientで、[Home]→[Networking & Security]→[Service Definitions] に移動します。
  2. [Trend Micro Deep Security] サービスをダブルクリックします。

    vSphereのサービス定義

  3. [Service Instances] をクリックし、[Trend Micro Deep Security-GlobalInstance] をクリックします。

    サービスのグローバルインスタンス

  4. [Service Profiles] をクリックし、[Default (EBT)] をクリックしてTrend Micro Deep Securityサービスプロファイルの内容を表示します。

    vSphereのサービスプロファイル

  5. [Default (EBT)] で、[Settings] を選択してから [Edit] をクリックします。

  6. [failOpen] の値に、「true」と入力してから [OK] をクリックします。

  7. [Publish] をクリックします。
  8. [Networking & Security]→[Service Composer]→[Security Groups] の順に選択します。
  9. セキュリティグループを右クリックして、[Apply Policy] を選択します。

  10. ポリシーがすでに配置されていて、ポリシーを修正する場合は、ポリシーを再送信するために、バインドを解除してから保護対象の仮想マシンのNSXセキュリティグループに再バインドする必要があります。セキュリティポリシーの選択を解除して、[OK] をクリックします。セキュリティポリシーを再度選択して、[OK] をクリックします。

    ポリシーはすぐに再配置する必要があります。再配置するまで、ESXiサーバ上にあるすべての保護対象ゲスト仮想マシンのネットワーク接続は中断される可能性があります。