Deep Security Virtual Applianceのアップグレード

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

トレンドマイクロは、OSにある新しい脆弱性から保護するため、Deep Security Virtual Applianceのアップデートを提供します。

アップグレード方法は2つあります。

既存のVirtual Applianceを置き換える

古いバージョンのDeep Security Virtual Applianceを利用している場合、トレンドマイクロでは、最新のセキュリティパッチ、アップデート、および継続的なサポートを利用できるように、Virtual Applianceを最新バージョンに置き換えることを推奨しています。Deep Security Virtual Applianceを置き換えるには、次の手順に従います。

手順1: Deep Security Managerのバージョンを確認する

Deep Security Virtual Appliance 10.0との互換性のために必要なDeep Security Manager 10.0 Update 12以降を使用していることを確認します。Update 12以降を取得するには、ここをクリック: https://help.deepsecurity.trendmicro.com/software.html

Deep Security Manager 10.1ではDeep Security Virtual Appliance 10.0がサポートされていません。

手順2: 新しいVirtual ApplianceパッケージをManagerにインポートする

  1. Deep Security Managerコンピュータで、https://help.deepsecurity.trendmicro.com/ja-jp/software.htmlのソフトウェアページに移動します。
  2. Deep Security Virtual Appliance 10.0パッケージをコンピュータにダウンロードします。
  3. Deep Security Managerで、[管理]→[アップデート]→[ソフトウェア]→[ローカル] に進みます。
  4. [インポート] をクリックして、パッケージをDeep Security Managerにアップロードします。

    Applianceをインポートすると、Applianceの仮想マシンのOSと互換性のあるDeep Security Agentソフトウェアを、Deep Security Managerが自動的にダウンロードします。このAgentソフトウェアは、[管理]→[アップデート]→[ソフトウェア]→[ローカル] に表示されます。Applianceをインストールすると、Agentソフトウェアもインストールされます。

    Deep Security Virtual Applianceの複数のバージョンを [ローカルソフトウェア] に表示することも可能です。新しいDeep Security Virtual Applianceをインストールした場合は、常に最新バージョンが選択されます。

  5. オプションで、Microsoft Windowsを実行するゲスト仮想マシンの場合は、Deep Security Notifierをダウンロードすることもできます。Notifierは、Deep Securityシステムイベントのメッセージをシステムトレイに表示するコンポーネントです。詳細については、Deep Security Notifierのインストールを参照してください。

手順3: 検出ファイルを確認または復元する

  1. 仮想マシンを移動したり、Deep Security Virtual Applianceを削除したりすると隔離ファイルが失われるため、必要に応じて、検出ファイルを確認または復元します。
  2. Virtual Applianceを置き換える間にゲスト仮想マシンをシャットダウンする必要はありません。

手順4: ゲスト仮想マシンを別のESXiホストに移行する

ESXiホストが1台だけの場合は、ゲスト仮想マシンを (移行せずに) そのまま同じESXiサーバに残すものとします。その場合は、直接手順5: 古いVirtual Applianceを置き換えるに進んでください。古いDeep Security Virtual Appliance (以下に詳しく説明) を削除してから新しいものを再インストールするまでの間は、移行しないゲスト仮想マシンの保護が失われることに注意してください。

説明を簡潔にするために、この手順では次の用語を使用します。

  • ESXi_Aは、置き換えるVirtual ApplianceをホストしているESXiサーバです。
  • ESXi_Bは、Virtual Applianceを置き換えるときのゲスト仮想マシンの移行先のESXiサーバです。このサーバは、ESXi_Aと同じクラスタにあるものとします。

  1. クラスタのDRSを有効にして、DRSの自動化レベルが [Fully Automated] であることを確認します。詳細については、こちらのVMwareの記事を参照してください。
  2. ESXi_Aを探して、このESXiサーバをメンテナンスモードに切り替えます。

    メンテナンスモードに移行すると、次のようになります。

    • ESXi_Aのゲスト仮想マシンが自動的に (vMotionを使用して) クラスタ内のESXi_Bに移行されます。
    • ESXi_Aを保護しているDeep Security Virtual Applianceが自動的にシャットダウンされます。
    • ESXiのメンテナンスモードが終了するまで、ゲスト仮想マシンの電源をオンにできなくなります。

手順5: 古いVirtual Applianceを置き換える

  1. VMware vSphere Web Clientの [Hosts and Clusters] に移動します。
  2. 電源がオフになっているDeep Security Virtual Applianceを探します。緑色の矢印が付いていないものです (次の画像を参照)。Virtual Applianceは、対応するESXiサーバがメンテナンスモードに入ると自動的にオフになります。
  3. オフになっている状態のDeep Security Virtual Applianceを右クリックし、[Delete from Disk] を選択します。

  4. [Confirm Delete] メッセージが表示されたら、[Yes] をクリックします。

  5. 削除に失敗すると、次のメッセージが表示されます。

    This operation not allowed in the current state

    この場合は、次の手順を実行してください。

    1. もう一度Deep Security Virtual Applianceを右クリックします。今回は[Remove from Inventory] を選択します。これは [Delete from Disk] のすぐ上に表示されます。Virtual Applianceは、vCenterからは削除されますが、データストアでは保持されます。
    2. ナビゲーション画面でデータストアのタブを選択し、古いVirtual Applianceがあるデータストアを選択します。
    3. メイン画面で [Files] タブをクリックします。
    4. 古いVirtual Applianceフォルダを右クリックし、[Delete File] を選択します。

  6. VMware vSphere Web Clientで、[Home]→[Networking and Security]→[Installation]→[Service Deployments] の順に選択します。

    以下が表示されます。

    • 削除したDeep Security Virtual Applianceの [Installation Status] 列に [Failed] と表示されます。
    • メンテナンスモードの場合は、Guest Introspectionサービスも [Failed] として表示されます。

  7. Guest Introspectionサービスの [Installation Status][Failed] になっている場合、そのサービスの [Resolve] ボタンをクリックします。

    Guest Introspectionサービスがオンになり、メンテナンスモードが終了します。

    [Failed] ステータスが [Enabling][Succeeded] の順に変わることを確認します。

  8. [Failed] ステータスのTrend Micro Deep Security Virtual Applianceの [Resolve] ボタンをクリックします。

    次の処理が行われます。

    • Deep Security Virtual ApplianceがDeep Security Managerにロードした最新のソフトウェアとともに再インストールされます。
    • 互換性のあるDeep Security AgentもDeep Security Virtual Applianceにインストールされます。
    • Deep Security Virtual Applianceが有効化されます。

    [Failed] ステータスが [Enabling][Succeeded] の順に変わることを確認します。

手順6: メンテナンスモードがオフになっていることを確認する

手順7: 新しいVirtual Applianceが有効化されていることを確認する

  1. Deep Security Managerで、画面上部の [コンピュータ] をクリックします。
  2. リストでDeep Security Virtual Applianceを探し、ダブルクリックします。
  3. 以下を確認します。
    1. ステータスが [管理対象 (オンライン)] に設定されていることを確認します。これは、Agentが正常に有効化されたことを示します。
    2. [Virtual Applianceのバージョン] が組み込みのDeep Security Agentのバージョンに設定されていることを確認します。このバージョンが、[管理]→[アップデート]→[ソフトウェア]→[ローカル] で確認できるAgentのバージョンと一致する必要があります。
    3. [ApplianceのOSバージョン] が先ほどインストールしたDeep Security Virtual Applianceのバージョンに設定されていることを確認します。

これで、古いVirtual Applianceが新しいものに置き換わりました。

手順8: 最後の手順

  1. 置き換える必要がある各Virtual Applianceについて、手順3: 検出ファイルを確認または復元するから手順7: 新しいVirtual Applianceが有効化されていることを確認するまで、このセクションのすべての手順を繰り返します。

ゲスト仮想マシンは、古いDeep Security Virtual Applianceをインストールしたときの有効化の設定に従って有効化されます。

既存のVirtual Applianceをアップデートする

トレンドマイクロVirtual Applianceを最新バージョンに置き換えることを推奨していますが、置き換えできない場合があります。その場合、再インストールしなくてもVirtual Applianceの基礎コンポーネントをアップデートできます。

アップデートに関連するタスクは2つあり、インストール内容に応じて1つまたは両方の手順を実行する必要があります。

  • Virtual ApplianceのOSのアップデート
  • Applianceに組み込まれたAgentのアップデート

次の手順に従ってアップデートを完了します。

  1. インストールされているApplianceバージョンを確認するします。この処理の残りの手順を完了するには、次の情報が必要です。
  2. Applianceパッチがある場合はインポートします (失敗すると、パッチがインポートされていないことを示すシステムイベント740が生成されます)。
    1. Deep Security Managerにログインします。
    2. 左側で、[アップデート]→[ソフトウェア]→[ダウンロードセンター] の順に展開します。
    3. メイン画面で、上部右の検索バーに「Agent-DSVA」と入力し、<Enter>キーを押します。

      名前がAgent-DSVA-CentOS<version>-<patch-version>-<date>.x86_64.zipの1つ以上のパッチが表示されます。
    4. Deep Security Virtual Applianceと互換性のあるパッチを選択します。解説については、この後に表示される互換性の表を参照してください。互換性のあるパッチが表示されない場合、パッチが存在しないか、パッチをインストールする必要はありません。
    5. [今すぐインポート] 列のボタンをクリックし、パッチをDeep Security Managerにインポートします。
    6. 左側で、[ローカルソフトウェア] をクリックし、パッチが正しくインポートされていることを確認します。
    7. パッチの追加を繰り返します。
  3. 互換性のあるAgentをインポートします。
    1. Deep Security Managerの左側で、[アップデート]→[ソフトウェア]→[ダウンロードセンター] の順に展開します。
    2. Deep Security Virtual Applianceと互換性のあるAgentソフトウェアを選択します。解説については、この後に表示される互換性の表を参照してください。
    3. [今すぐインポート] 列のボタンをクリックし、AgentをDeep Security Managerにインポートします。
    4. 左側で、[ローカルソフトウェア] をクリックし、Agentが正しくインポートされていることを確認します。

    Applianceのバージョンと互換性のあるパッチとDeep Security Agentがインポートされました。ApplianceのAgentをアップグレードし、パッチを適用する準備ができました。

  4. ApplianceのAgentをアップグレードし、パッチを適用します。
    1. [コンピュータ] をクリックし、Applianceコンピュータをダブルクリックします。
    2. [処理]→[Applianceのアップグレード] の順にクリックします。
    3. ApplianceにインストールするAgentバージョンを選択します。これは先ほどインポートしたAgentです。
    4. [OK] をクリックします。
  5. [イベントとレポート] をクリックして710を検索し、アップデートファイルのインストールに関するレポートを確認します。

ApplianceのAgentがアップグレードされ、1つ以上のOSパッチ (存在する場合) がインストールされました。

Deep Security Virtual ApplianceのOSパッチをインポートする前にDeep Security Agentをアップグレードした場合は、システムイベント740が表示されます。この問題を修正するには、次の手順を実行します。

  1. アップデートするApplianceのバージョンに対応するApplianceパッチをインポートします。手順については、上記の手順を参照してください。ApplianceパッチはDeep Security Managerの [ローカルソフトウェア] 画面に表示されます。
  2. [コンピュータ] 画面に移動します。
  3. Applianceをアップデートする仮想マシンを右クリックし、[ポリシーの送信] をクリックします。Applianceがパッチをダウンロードしてインストールします。

Applianceがパッチをダウンロードできない場合、Relayがまだパッチファイルを受信していない可能性があります。Relayがファイルを受信するまで待ってから、[ポリシーの送信] をクリックしてください。Relayの詳細については、Relayの設定を参照してください。

互換性の表: Appliance、Agent、パッチ

Applianceのバージョン イメージのOS 互換性のあるAgentソフトウェア 互換性のあるApplianceパッチ (存在する場合)
Appliance-ESX-10+ CentOS 7 Agent-RedHat_EL7-<version>.x86_64.zip Agent-DSVA_CENTOS7.0-<patch-version>-<date-stamp>.x86_64.zip

インストールされているApplianceバージョンを確認する

最新のアップデートをインストールする必要があるかどうかを判断するには、インストールされているApplianceバージョンを確認します。コンピュータの詳細には、インストールされているApplianceソフトウェアについて、次の情報が表示されます ([コンピュータ] をクリックし、仮想マシンを選択して [詳細]→[一般] をクリックします)。

  • [Virtual Applianceバージョン] プロパティ: ApplianceのOSに配信されるDeep Security Agentのバージョンを示します。
  • [Appliance OSバージョン] プロパティ: インストールされるDeep Security Virtual Applianceのバージョンを示します。