VMware環境の保護

Trend Micro Deep SecurityはVMwareと緊密に連携し、Agentレスによるセキュリティをハイパーバイザレベルで提供します。このセキュリティを提供するのがDeep Security Virtual Applianceです。アプライアンスはNSX Managerを介してクラスタレベルで配信され、特定のホスト上のVMに保護機能が提供されます。

このページのトピック:

Deep Security Virtual Applianceの機能

検索キャッシュ

検索キャッシュでは、同じファイルを含む複数のコンピュータを検索する際に、不正プログラム検索の結果を使用できます。元のゲスト仮想マシンを検索する際、Applianceは検索対象ファイルの属性を追跡します。他の仮想マシンを検索する際には、各ファイルの追跡した属性を比較します。属性が同じ後続のファイルを再び完全に検索する必要がないため、全体的な検索時間が短縮されます。ほぼ同じイメージの仮想デスクトップインフラストラクチャ (VDI) などでは、検索キャッシュを使用することでパフォーマンスに与える影響を大幅に削減できます。

検索ストームの最適化

同時に多数の検索が実行されると、「検索ストーム」が発生し、パフォーマンスが低下します。通常、検索ストームは、大規模なVDI環境で発生します。不正プログラム検索を実行する場合、アプライアンスは次の機能を使用できます。検索キャッシュスキャン嵐の最中にリソース使用率を最適化します。

管理の簡素化

一般に、Deep Security Virtual Applianceを各ESXiホストに1つ配置する方が、複数の仮想マシンにAgentを配置するよりも簡単です。NSXを使用すると、NSX Manager経由でDeep Securityサービスが配信されてクラスタに適用されるため、さらに管理の手間を節約できます。クラスタに新しいホストが追加されると、Deep Securityによる保護が自動的に適用されます。

また、Virtual Applianceを使用するとネットワークの柔軟性も向上します。Deep Security Agentは、それぞれがネットワークに接続してDeep Security ManagerとRelayを解決する必要があります。Deep Security Virtual Applianceを使用した場合、このネットワーク接続が必要なのはVirtual Applianceのみで、各仮想マシンへの接続は必要ありません。

インフラストラクチャと仮想マシンが別々のチームによって管理される場合があります。Virtual Applianceを使用すると、ハイパーバイザレベルで保護を実施して各仮想マシンを保護できるため、インフラストラクチャチームは保護を追加するために仮想マシンにアクセスする必要がありません。

Virtual ApplianceおよびNSX 6.2.4を使用するVMware環境

Deep Security Virtual Applianceを使用してゲスト仮想マシンを保護する場合は、VMware NSXを使用する必要があります。NSXには4つのライセンスタイプがあります。これらのライセンスタイプは、Agentレスで使用できるDeep Security機能に影響します。次の表には、その4つのNSXライセンスタイプと各タイプでサポートされるDeep Security機能を示します。

Deep Security Virtual Applianceでサポートされるサポート対象の機能およびサブ機能の包括的なリストについては、各プラットフォームでサポートされている機能を参照してください。

  Deep Security Virtual Appliance環境 (Agentレス)
 

NSX Advanced

または

NSX Enterprise

NSX for vShield Endpoint (無料)

または

NSX Standard

または

NSX Professional

不正プログラム対策 ✔ (Windowsゲスト仮想マシンのみ) ✔ (Windowsゲスト仮想マシンのみ)
変更監視 ✔ (Windowsゲスト仮想マシンのみ) ✔ (Windowsゲスト仮想マシンのみ)
ファイアウォール X1
侵入防御 X1
Webレピュテーション X1
セキュリティログ監視 X1 X1
アプリケーションコントロール X1 X1

1 各ゲスト仮想マシンにAgentをインストールした場合のみ使用可 (コンバインモード)

NSX AdvancedまたはEnterpriseの場合、Deep Security Virtual Applianceは、すべてのゲスト仮想マシンに対して不正プログラム対策 (Windowsゲスト仮想マシンのみ)、変更監視 (Windowsゲスト仮想マシンのみ)、ファイアウォール、侵入防御、およびWebレピュテーションを実行できます。仮想マシンにAgentをインストールする必要はありません。ただし、セキュリティログ監視とアプリケーションコントロールが必要な場合、またはLinux仮想マシンに不正プログラム対策と変更監視が必要な場合は、Agentをインストールする必要があります。

NSX for vShield Endpoint(Free), NSX Standard、またはNSX Professional)を使用することで、Deep Security Virtual Applianceは、Windows VMでの不正プログラム対策監視と整合性監視をサポートします。ファイアウォール、侵入防御、Webレピュテーション、ログ検査、アプリケーション制御機能が必要な場合、またはLinux VMの不正プログラム対策監視と整合性監視を必要とする場合は、エージェントをインストールする必要があります。

Virtual Applianceの機能を補うためにAgentをインストールすることを、コンバインモードと呼びます。

コンバインモードを検討する場合、以下が主要なポイントとなります。

  • 管理: Deep Securityには、さまざまなオーケストレーションツール (Chef、Puppetなど) を使用してDeep Security Agentのインストールをスクリプト化できる、インストールスクリプトが用意されています。インストールスクリプトを使用するとAgentを簡単にインストールでき、Agentの有効化およびポリシーの割り当ても可能です。インストールスクリプトを使用することで、VMware環境にAgentをインストールする際の手動操作や管理コストを減らすことができます。
  • 検索キャッシュ パフォーマンスの向上と 検索ストームの最適化:コンバインモードでは、仮想アプライアンスはスキャンキャッシングおよび検索を実行し、不正プログラム検索の検索を行います。これにより、インストールが必要なのはネットワークドライバのみとなるため、各仮想マシンでAgentが占有するスペースを抑えることができます。

Deep Security Virtual Appliance環境の設定方法の詳細については、NSX AdvancedまたはEnterpriseへのDeep Security Virtual Applianceのインストールを参照してください。

エージェントのみを使用したVMwareの配置

NSXを使用せずにVMware環境を保護するには、Deep Security Agentを各仮想マシンにインストールします。このシナリオでは、Agentがすべての保護を提供するため、Deep Security Virtual Applianceは必要ありません。Deep Security Agentを使用すると、Deep Securityの主要機能をすべて利用できます。主要な機能とは、不正プログラム対策変更監視ファイアウォール侵入防御Webレピュテーションセキュリティログ監視アプリケーションコントロールです。加えて、Agentには次の特性があります。

  • 軽量 (Smart Agent)。Managerで設定したポリシーを使用してインストールされるのは、指定した保護モジュール (不正プログラム対策や変更監視など) のみです。さらに、Deep Securityには「推奨設定の検索」と呼ばれる機能があり、これを使用すると、保護している特定のワークロードに必要なルールだけを割り当てることができます。
  • Windows Agentには不正プログラム対策の検索キャッシュが含まれます。これには過去に検索されたファイルのうち、アクセスの頻度が高いファイルのハッシュが格納されているため、再検索の必要がありません。

Agentをインストールするため、トレンドマイクロではさまざまなオーケストレーションツール (Chef、Puppetなど) で使用できるインストールスクリプトを提供しています。手動でAgentをインストールすることもできます。

追加情報