NSX環境での自動ポリシー管理

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

NSXへのDeep Securityポリシーの同期を有効にしている場合は、NSXセキュリティグループの変更イベントベースタスクを使用する必要はありません。ポリシーの同期の詳細については、Deep SecurityポリシーのNSXとの同期を参照してください。

ここで説明する手順に進む前に実行しておく必要のある手順については、Deep Securityのインストールを参照してください。

開始する前に、NSXセットアップ手順 に従ってNSXを使用してアプライアンスを配信していることを確認してください。

以下のタスクを完了したら、に進みます。NSXセキュリティグループおよびポリシーの作成.

NSX環境内のVMのセキュリティ設定は、VMのNSXセキュリティグループの変更に基づいて自動的に変更できます。セキュリティ設定を自動化するには、 NSX Security Group Change Event-Based Taskを使用します。

仮想マシンはNSXセキュリティグループ、NSXセキュリティグループはNSXセキュリティポリシー、NSXセキュリティポリシーはNSXサービスプロファイルに、それぞれ関連付けられます。

「NSXセキュリティグループの変更」イベントベースタスク

Deep Securityには、特定の条件で特定のイベントが検出されたときに処理を実行するように設定できるイベントベースタスク (EBT) があります。NSXセキュリティグループの変更EBTを使用すると、仮想マシンが属しているNSXセキュリティグループへの変更が検出されたときに、その仮想マシンの保護設定を変更できます。

NSXセキュリティグループの変更EBTは、Default (EBT) NSXサービスプロファイルに関連付けられたNSXセキュリティグループへの変更のみを検出します 。同様に、1つの仮想マシンが複数のグループとポリシーに関連付けられている場合でも、Deep SecurityはDefault (EBT) NSXサービスプロファイルに関連付けられたグループとポリシーに関連する変更のみを監視およびレポートします 。

このタスクを変更するには、Deep Security Managerで、[管理]→[イベントベースタスク] の順に選択します。

NSXセキュリティグループの変更EBTは、次のいずれかのイベントが発生した場合に開始されます。

  • Default (EBT) NSXサービスプロファイルに間接的に関連付けられたNSXグループに仮想マシンが追加された場合。
  • Default (EBT) NSXサービスプロファイルに関連付けられたNSXグループから仮想マシンが削除された場合。
  • Default (EBT) NSXサービスプロファイルに関連付けられたNSXポリシーがNSXグループに適用された場合。
  • Default (EBT) NSXサービスプロファイルに関連付けられたNSXポリシーがNSXグループから削除された場合。
  • NSXポリシーがDefault (EBT) NSXサービスプロファイルに関連付けられた場合 。
  • NSXポリシーがDefault (EBT) NSXサービスプロファイルから削除された場合 。
  • Default (EBT) NSXサービスプロファイルに関連付けられたNSXグループ の名前が変更された場合。

変更によって影響を受ける仮想マシンごとにイベントがトリガされます。

タスクを実行する条件

次の条件を「NSXセキュリティグループの変更」イベントベースタスクに適用して、処理を実行する前にテストすることができます。

  • コンピュータ名: 仮想マシンのホスト名。
  • ESXi名: 仮想マシンをホストするESXiのホスト名。
  • フォルダ名: ESXiフォルダ構造にある仮想マシンのフォルダ名。
  • NSXセキュリティグループ名: 変化が加えられるNSXセキュリティグループの名前。
  • プラットフォーム: 仮想マシンのオペレーティングシステム。
  • vCenter名: 仮想マシンを管理しているvCenterの名前。
  • Appliance保護が利用可能: 仮想マシンがホストされているESXi上にDeep Security Virtual Applianceがあり、仮想マシンを保護できる。仮想マシンの状態が有効化済みになっているかどうかは問いません。
  • Appliance保護が有効化済み: Deep Security Virtual Applianceを使用して、有効化されている仮想マシンをホストしているESXi上の仮想マシンを保護できます。
  • 最後に使用されたIPアドレス: コンピュータの現在の、または最後に確認されたIPアドレス。
これらの条件およびイベントベースタスクの概要については、イベントベースタスクの作成を参照してください。

NSXセキュリティグループ名条件は、NSXセキュリティグループの変更イベントベースタスクへの変更に対するものです。

プロパティが変更された、仮想マシンが属しているNSXセキュリティグループに一致するJava正規表現を受け付けます。次の2つの特殊なケースがあります。

  • いずれかのグループのメンバーシップに対する一致。この場合に推奨される正規表現は「+」です。
  • グループのメンバーシップに対する不一致。この場合に推奨される正規表現は「^$」です。

他の正規表現としては、特定のグループ名または部分名 (複数のグループに一致) などがあります。

この条件に適合するグループのリストには、Default (EBT) NSXサービスプロファイルのポリシーに関連付けられたグループのみが含まれます 。

実行可能な処理

仮想マシンが属しているNSXセキュリティグループへの変更を検出したときに、仮想マシンに対して次の処理を実行できます。

  • コンピュータの有効化: Deep Security Virtual Applianceによる保護を有効化します。この処理は、Deep Securityで保護されたNSXセキュリティグループに仮想マシンを移動した場合に使用します。
  • コンピュータの無効化: Deep Security Virtual Applianceによる保護を無効化します。この処理は、Deep Securityで保護されたNSXセキュリティグループから仮想マシンを移動した場合に使用します。仮想マシンが保護されなくなるため、Deep Securityで保護されたNSXセキュリティグループから仮想マシンを移動したときにこの処理が実行されない場合は、アラートが発生します。
  • ポリシーの割り当て: Deep Securityポリシーを仮想マシンに割り当てます。
  • Relayグループの割り当て: Relayグループを仮想マシンに割り当てます。

vCenterがDeep Security Managerに追加されたときに作成されるイベントベースタスク

NSX Managerと連携したvCenterをDSMに追加したときに、2つのイベントベースタスクを作成できます。vCenterの追加ウィザードの最後の画面にチェックボックスが表示されます。オンにした場合、2つのイベントベースタスクが作成されます。1つは、保護が追加されたときに仮想マシンを有効化し、もう1つは、保護が削除されたときに仮想マシンを無効化します。

最初のイベントベースタスクは、次のように設定されます。

  • 名前: <vCenter名>を有効化します。この<vCenter名>は、vCenterプロパティの [名前] フィールドに表示される値です。
  • イベント: NSXセキュリティグループの変更
  • タスクの有効化: True
  • 処理: 5分間の遅延後にコンピュータを有効化します
  • 条件:
    • vCenter名: EBTはvCenter固有のため、<vCenter名>が一致している必要があります。
    • Appliance保護が利用可能: True。同じESXiにアクティベーションされたDeep Security Virtual Applianceが配置されている必要があります。
    • Appliance保護が有効化済み: False。無効化されている仮想マシンにのみ適用されます。
    • NSXセキュリティグループ: 「+」。1つ以上のDeep Securityグループのメンバーである必要があります。

たとえばDeep Security保護ポリシーを適用したり、別のRelayグループを割り当てたりして、このイベントベースタスクに関連付けられた処理を変更できます。既存のイベントベースタスクの処理 (およびその他のプロパティ) は、Deep Security Managerの [管理]→[イベントベースタスク] 画面で編集できます。

2つ目のイベントベースタスクは、次のように設定されます。

  • 名前: <vCenter名>を無効化します。この<vCenter名>は、vCenterプロパティの [名前] フィールドに表示される値です。
  • イベント: NSXセキュリティグループの変更
  • タスクの有効化: False
  • 処理: コンピュータを無効化します
  • 条件:
    • vCenter名: <vCenter名>。イベントベースタスクはvCenter固有のため、一致する必要があります。
    • Appliance保護が有効化済み: True。有効化されている仮想マシンにのみ適用されます。
    • NSXセキュリティグループ:「^$」。グループのメンバーであってはなりません。

      イベントベースタスクは初期設定で無効化されています。vCenterのインストールの完了後に、必要に応じて有効化したりカスタマイズしたりできます。
複数のイベントベースタスクが同一条件で開始される場合、タスクはタスク名のアルファベット順に実行されます。

Deep Security ManagerからvCenterを削除する

Deep Security ManagerからvCenterが削除されるたびに、次の条件を満たすすべてのイベントベースのタスクが無効になります。

  1. vCenter名の条件は、削除するvCenterの名前に一致します。
    これは完全一致である必要があります。複数のvCenter名に一致するイベントベースタスクは、無効化されません。
  2. イベントベースタスク「イベントタイプ」は、「NSXセキュリティグループの変更」です。他のタイプのイベントベースタスクは、無効化されません。

Deep Security ManagerからvCenterを削除するには、最初にNSXからDeep Securityを削除する必要があります。NSXからDeep Securityを削除する手順と、Deep Security ManagerからvCenterを削除する手順については、NSX環境からのDeep Securityのアンインストールを参照してください。