本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
NSX環境での自動ポリシー管理
オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。
ここで説明する手順に進む前に実行しておく必要のある手順については、Deep Securityのインストールを参照してください。
開始する前に、NSXセットアップ手順 に従ってNSXを使用してアプライアンスを配信していることを確認してください。
以下のタスクを完了したら、に進みます。NSXセキュリティグループおよびポリシーの作成.
NSX環境内のVMのセキュリティ設定は、VMのNSXセキュリティグループの変更に基づいて自動的に変更できます。セキュリティ設定を自動化するには、 NSX Security Group Change Event-Based Taskを使用します。
仮想マシンはNSXセキュリティグループ、NSXセキュリティグループはNSXセキュリティポリシー、NSXセキュリティポリシーはNSXサービスプロファイルに、それぞれ関連付けられます。
「NSXセキュリティグループの変更」イベントベースタスク
Deep Securityには、特定の条件で特定のイベントが検出されたときに処理を実行するように設定できるイベントベースタスク (EBT) があります。NSXセキュリティグループの変更EBTを使用すると、仮想マシンが属しているNSXセキュリティグループへの変更が検出されたときに、その仮想マシンの保護設定を変更できます。
このタスクを変更するには、Deep Security Managerで、[管理]→[イベントベースタスク] の順に選択します。
NSXセキュリティグループの変更EBTは、次のいずれかのイベントが発生した場合に開始されます。
- Default (EBT) NSXサービスプロファイルに間接的に関連付けられたNSXグループに仮想マシンが追加された場合。
- Default (EBT) NSXサービスプロファイルに関連付けられたNSXグループから仮想マシンが削除された場合。
- Default (EBT) NSXサービスプロファイルに関連付けられたNSXポリシーがNSXグループに適用された場合。
- Default (EBT) NSXサービスプロファイルに関連付けられたNSXポリシーがNSXグループから削除された場合。
- NSXポリシーがDefault (EBT) NSXサービスプロファイルに関連付けられた場合 。
- NSXポリシーがDefault (EBT) NSXサービスプロファイルから削除された場合 。
- Default (EBT) NSXサービスプロファイルに関連付けられたNSXグループ の名前が変更された場合。
変更によって影響を受ける仮想マシンごとにイベントがトリガされます。
タスクを実行する条件
次の条件を「NSXセキュリティグループの変更」イベントベースタスクに適用して、処理を実行する前にテストすることができます。
- コンピュータ名: 仮想マシンのホスト名。
- ESXi名: 仮想マシンをホストするESXiのホスト名。
- フォルダ名: ESXiフォルダ構造にある仮想マシンのフォルダ名。
- NSXセキュリティグループ名: 変化が加えられるNSXセキュリティグループの名前。
- プラットフォーム: 仮想マシンのオペレーティングシステム。
- vCenter名: 仮想マシンを管理しているvCenterの名前。
- Appliance保護が利用可能: 仮想マシンがホストされているESXi上にDeep Security Virtual Applianceがあり、仮想マシンを保護できる。仮想マシンの状態が有効化済みになっているかどうかは問いません。
- Appliance保護が有効化済み: Deep Security Virtual Applianceを使用して、有効化されている仮想マシンをホストしているESXi上の仮想マシンを保護できます。
- 最後に使用されたIPアドレス: コンピュータの現在の、または最後に確認されたIPアドレス。
NSXセキュリティグループ名条件は、NSXセキュリティグループの変更イベントベースタスクへの変更に対するものです。
プロパティが変更された、仮想マシンが属しているNSXセキュリティグループに一致するJava正規表現を受け付けます。次の2つの特殊なケースがあります。
- いずれかのグループのメンバーシップに対する一致。この場合に推奨される正規表現は「+」です。
- グループのメンバーシップに対する不一致。この場合に推奨される正規表現は「^$」です。
他の正規表現としては、特定のグループ名または部分名 (複数のグループに一致) などがあります。
実行可能な処理
仮想マシンが属しているNSXセキュリティグループへの変更を検出したときに、仮想マシンに対して次の処理を実行できます。
- コンピュータの有効化: Deep Security Virtual Applianceによる保護を有効化します。この処理は、Deep Securityで保護されたNSXセキュリティグループに仮想マシンを移動した場合に使用します。
- コンピュータの無効化: Deep Security Virtual Applianceによる保護を無効化します。この処理は、Deep Securityで保護されたNSXセキュリティグループから仮想マシンを移動した場合に使用します。仮想マシンが保護されなくなるため、Deep Securityで保護されたNSXセキュリティグループから仮想マシンを移動したときにこの処理が実行されない場合は、アラートが発生します。
- ポリシーの割り当て: Deep Securityポリシーを仮想マシンに割り当てます。
- Relayグループの割り当て: Relayグループを仮想マシンに割り当てます。
vCenterがDeep Security Managerに追加されたときに作成されるイベントベースタスク
NSX Managerと連携したvCenterをDSMに追加したときに、2つのイベントベースタスクを作成できます。vCenterの追加ウィザードの最後の画面にチェックボックスが表示されます。オンにした場合、2つのイベントベースタスクが作成されます。1つは、保護が追加されたときに仮想マシンを有効化し、もう1つは、保護が削除されたときに仮想マシンを無効化します。
最初のイベントベースタスクは、次のように設定されます。
- 名前: <vCenter名>を有効化します。この<vCenter名>は、vCenterプロパティの [名前] フィールドに表示される値です。
- イベント: NSXセキュリティグループの変更
- タスクの有効化: True
- 処理: 5分間の遅延後にコンピュータを有効化します
- 条件:
- vCenter名: EBTはvCenter固有のため、<vCenter名>が一致している必要があります。
- Appliance保護が利用可能: True。同じESXiにアクティベーションされたDeep Security Virtual Applianceが配置されている必要があります。
- Appliance保護が有効化済み: False。無効化されている仮想マシンにのみ適用されます。
- NSXセキュリティグループ: 「+」。1つ以上のDeep Securityグループのメンバーである必要があります。
たとえばDeep Security保護ポリシーを適用したり、別のRelayグループを割り当てたりして、このイベントベースタスクに関連付けられた処理を変更できます。既存のイベントベースタスクの処理 (およびその他のプロパティ) は、Deep Security Managerの [管理]→[イベントベースタスク] 画面で編集できます。
2つ目のイベントベースタスクは、次のように設定されます。
- 名前: <vCenter名>を無効化します。この<vCenter名>は、vCenterプロパティの [名前] フィールドに表示される値です。
- イベント: NSXセキュリティグループの変更
- タスクの有効化: False
- 処理: コンピュータを無効化します
- 条件:
- vCenter名: <vCenter名>。イベントベースタスクはvCenter固有のため、一致する必要があります。
- Appliance保護が有効化済み: True。有効化されている仮想マシンにのみ適用されます。
-
NSXセキュリティグループ:「^$」。グループのメンバーであってはなりません。
イベントベースタスクは初期設定で無効化されています。vCenterのインストールの完了後に、必要に応じて有効化したりカスタマイズしたりできます。
Deep Security ManagerからvCenterを削除する
Deep Security ManagerからvCenterが削除されるたびに、次の条件を満たすすべてのイベントベースのタスクが無効になります。
- vCenter名の条件は、削除するvCenterの名前に一致します。
これは完全一致である必要があります。複数のvCenter名に一致するイベントベースタスクは、無効化されません。
- イベントベースタスク「イベントタイプ」は、「NSXセキュリティグループの変更」です。他のタイプのイベントベースタスクは、無効化されません。
Deep Security ManagerからvCenterを削除するには、最初にNSXからDeep Securityを削除する必要があります。NSXからDeep Securityを削除する手順と、Deep Security ManagerからvCenterを削除する手順については、NSX環境からのDeep Securityのアンインストールを参照してください。