Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
VMware環境の保護
Trend Micro Deep SecurityはVMwareと緊密に連携し、Agentレスによるセキュリティをハイパーバイザレベルで提供します。このセキュリティを提供するのがDeep Security Virtual Applianceです。Applianceは、NSX Managerを使用してクラスタレベルで配置され、同じESXiホスト上の仮想マシンを保護します。
Deep Security Virtual Applianceの機能
検索キャッシュ
検索キャッシュを使用すると、 不正プログラム対策 検索の結果を、複数のコンピュータで同じファイルを検索するときに使用できます。元のゲスト仮想マシンを検索する際、Applianceは検索対象ファイルの属性を追跡します。他の仮想マシンを検索する際には、各ファイルの追跡した属性を比較します。属性が同じ後続のファイルを再び完全に検索する必要がないため、全体的な検索時間が短縮されます。ほぼ同じイメージの仮想デスクトップインフラストラクチャ (VDI) などでは、検索キャッシュを使用することでパフォーマンスに与える影響を大幅に削減できます。
検索ストームの最適化
同時に多数の検索が実行されると、「検索ストーム」が発生し、パフォーマンスが低下します。通常、検索ストームは、大規模なVDI環境で発生します。 不正プログラム対策 検索を実行すると、アプライアンスは 検索キャッシュ ]キャッシュ機能を使用して、スキャンの嵐の最中にリソースの使用状況を最適化できます。
管理の簡素化
一般に、Deep Security Virtual Applianceを各ESXiホストに1つずつ配置することは、複数のVMにDeep Security Agentを配置するより簡単です。NSXを使用すると、NSX Manager経由でDeep Securityサービスが配信されてクラスタに適用されるため、さらに管理の手間を節約できます。クラスタに新しいホストが追加されると、Deep Securityによる保護が自動的に適用されます。
また、Virtual Applianceを使用するとネットワークの柔軟性も向上します。Deep Security Agentは、それぞれがネットワークに接続してDeep Security ManagerとRelayを解決する必要があります。Deep Security Virtual Applianceを使用した場合、このネットワーク接続が必要なのはVirtual Applianceのみで、各仮想マシンへの接続は必要ありません。
インフラストラクチャと仮想マシンが別々のチームによって管理される場合があります。Virtual Applianceを使用すると、ハイパーバイザレベルで保護を実施して各仮想マシンを保護できるため、インフラストラクチャチームは保護を追加するために仮想マシンにアクセスする必要がありません。
仮想アプライアンスとNSX 6.3以上を使用したVMwareの導入
Deep Security Virtual Applianceを使用してゲストVMを保護する場合は、VMware NSXを使用する必要があります。NSXには4つのライセンスの種類があり、エージェントなしで使用できるDeep Securityの機能に影響します。4種類のNSXライセンスの種類が、それぞれがサポートする Deep Security 機能とともに、次の表に示されています。
Deep SecurityVirtual Applianceでサポートされるサポート対象の機能とサブ機能のリストについては、 各プラットフォームでサポートされている機能を参照してください。
Deep Security Virtual Applianceの配置(エージェントレス) | ||
NSX Advanced または NSX Enterprise |
NSX for vShield Endpoint (無料) または NSX Standard または NSX Professional |
|
不正プログラム対策 | ✔(WindowsゲストVMのみ) | ✔(WindowsゲストVMのみ) |
変更監視とアプリケーションコントロール | ✔(WindowsゲストVMのみ) | ✔(WindowsゲストVMのみ) |
ファイアウォール | ✔ | X1 |
侵入防御 | ✔ | X1 |
Webレピュテーション | ✔ | X1 |
セキュリティログ監視 | X1 | X1 |
アプリケーションコントロール | X1 | X1 |
1 各ゲスト仮想マシンにAgentをインストールした場合にのみ使用可 (コンバインモード)
NSX AdvancedまたはEnterpriseを使用すると、Deep Security Virtual Applianceで 不正プログラム対策 を実行できます(WindowsゲストVMの場合のみ), 変更監視 (WindowsゲストVMの場合のみ)), ファイアウォール, 侵入防御および Webレピュテーション for allゲストVMVMにエージェントをインストールする必要はありません。ただし、 セキュリティログ監視 および アプリケーションコントロールが必要な場合、または 不正プログラム対策 および 変更監視 for Linux VMが必要な場合は、エージェントをインストールする必要があります。
NSX for vShield Endpoint(Deep Free Virtual Applianceは、無料の), NSX Standard、またはNSX Professionalとともに、Windows VM上で 不正プログラム対策および 変更監視 をサポートします。 ファイアウォール, 侵入防御, Webレピュテーション, セキュリティログ監視, アプリケーションコントロール 機能、または 不正プログラム対策 および 変更監視 for Linux VMが必要な場合は、エージェントをインストールする必要があります。
Virtual Applianceの機能を補うためにAgentをインストールすることを、コンバインモードと呼びます。
コンバインモードを検討する場合、以下が主要なポイントとなります。
- 管理: Deep Securityには、さまざまなオーケストレーションツール (Chef、Puppetなど) を使用してDeep Security Agentのインストールをスクリプト化できる、インストールスクリプトが用意されています。インストールスクリプトを使用するとAgentを簡単にインストールでき、Agentの有効化およびポリシーの割り当ても可能です。インストールスクリプトを使用することで、VMware環境にAgentをインストールする際の手動操作や管理コストを減らすことができます。
- 検索キャッシュ のパフォーマンス改善と 検索ストームの最適化:複合モードでは、仮想アプライアンスは 不正プログラム対策 検索の検索キャッシュと検索の嵐の最適化を実行します。これにより、インストールが必要なのはネットワークドライバのみとなるため、各仮想マシンでAgentが占有するスペースを抑えることができます。
Deep Security Virtual Appliance環境を設定する方法の詳細については、 NSXへのDeep Security Virtual Applianceのインストールを使用したDeep Security Virtual Applianceの配信を参照してください。
エージェントのみを使用したVMwareの配置
NSXを使用せずにVMware環境を保護するには、Deep Security Agentを各仮想マシンにインストールします。このシナリオでは、Agentがすべての保護を提供するため、Deep Security Virtual Applianceは必要ありません。Deep Security Agentを使用することで、Deep Securityの主な機能をすべて利用できます. 不正プログラム対策, 変更監視, ファイアウォール, 侵入防御, Webレピュテーション, セキュリティログ監視、および アプリケーションコントロール。加えて、Agentには次の特性があります。
- 軽量 (Smart Agent)。指定した保護モジュール( 不正プログラム対策 および 変更監視など)のみが、マネージャで設定したポリシーに従ってインストールされます。さらに、Deep Securityには「推奨設定の検索」と呼ばれる機能があり、これを使用すると、保護している特定のワークロードに必要なルールだけを割り当てることができます。
- Windowsクライアントには、 不正プログラム対策 検索キャッシュが含まれています。このファイルには、頻繁にアクセスされる以前に検索されたファイルのハッシュが格納されているため、再スキャンする必要はありません。
Agentをインストールするため、トレンドマイクロではさまざまなオーケストレーションツール (Chef、Puppetなど) で使用できるインストールスクリプトを提供しています。手動でAgentをインストールすることもできます。