Applianceのインストール (NSX-V)

Deep Security 12 - Agentレス Deployment をYouTubeで視聴すると、NSX-V Managerを使用してVMware環境に対するエージェントレス保護の設定を確認できます。このビデオでは、Deep Security Virtual Applianceのインポート方法、vCenterおよびNSX ManagerとDeep Security Managerの同期、ゲストイントロスペクションおよびアプライアンスの配信方法、および 不正プログラム対策 保護機能のEICARファイルのテスト方法について説明します。

VMwareイメージのAgentレスによる保護が必要な場合、Deep Security Virtual Applianceをインストールする必要があります。

NSX Data Center for vSphere (NSX-V) にApplianceをインストールするには、次の手順に従います。

NSX-T Data Centerへのインストールについては、Applianceのインストール (NSX-T)を参照してください。

新しいOSの脆弱性から保護するためにDeep Security Virtual Applianceのアップグレードすることもできます。

開始前の準備

開始前の準備:

  • この表で、サポートされているNSXのライセンスとバージョンを確認します。
  • システム要件を確認します。
  • 必要な機能をAgentレスで利用できない場合は、「コンバインモード」を使用します。
  • ゲスト仮想マシンがネットワークカードに直接アクセスできるように設定した場合は、それらの仮想マシンにAgentをインストールしてください。この場合は、パケットをインターセプトすることができないため、ゲスト内にAgentをインストールすることをお勧めします。詳細については、Agentレスによる保護またはコンバインモードの保護の選択を参照してください。

手順1: Deep Security ManagerにApplianceパッケージをインポートする

次の手順を実行し、Deep Security Virtual ApplianceをダウンロードしてDeep Security Managerにインポートします。

  1. Deep Security Managerコンピュータで、https://help.deepsecurity.trendmicro.com/ja-jp/software.htmlのソフトウェアページに移動します。
  2. 最新のDeep Security Virtual Applianceパッケージをコンピュータにダウンロードします。
  3. Deep Security Managerで、[管理]→[アップデート]→[ソフトウェア]→[ローカル] に進みます。
  4. [インポート] をクリックして、パッケージをDeep Security Managerにアップロードします。

    Applianceのパッケージをインポートすると、Applianceの仮想マシンのOSと互換性のあるDeep Security Agentソフトウェアを、Deep Security Managerが自動的にダウンロードします。このAgentソフトウェアは、[管理]→[アップデート]→[ソフトウェア]→[ローカル] に表示されます。Applianceをインストールすると、組み込みのAgentソフトウェアは、初期設定で [ローカルソフトウェア] 内の最新の互換バージョンに自動的にアップグレードされます。[管理]→[システム設定]→[アップデート]タブ→[Virtual Applianceの配置] をクリックすると、自動アップグレードのバージョンを変更できます。

    Deep Security Virtual Applianceのパッケージのバージョンを [ローカルソフトウェア] に複数表示することも可能です。新しいDeep Security Virtual Applianceをインストールした場合は、常に最新バージョンが選択されます。

  5. オプションで、Microsoft Windowsを実行するゲスト仮想マシンの場合は、Deep Security Notifierをダウンロードすることもできます。Notifierは、Deep Securityシステムイベントのメッセージをシステムトレイに表示するコンポーネントです。詳細については、Deep Security Notifierのインストールを参照してください。

手順2: Deep Security ManagerにvCenterを追加する

VMware vCenterの追加に記載されている手順に従って、Deep Security ManagerにvCenterを追加します。

完了後:

  • ゲスト仮想マシンがDeep Security Managerに表示されます。
  • Trend Micro Deep SecurityサービスがNSX-Vに登録されます。

手順3: ESXiサーバの準備

NSX Advanced EditionまたはNSX Enterprise Editionを使用する場合は、ネットワークトラフィックの監視に必要なドライバをインストールして、ESXiサーバを準備する必要があります。この処理はクラスタ上で実行します。

別のエディションのNSXを使用している場合は、このセクションをスキップしてください。

  1. vSphere Web Clientで、[Home]→[Networking & Security]→[Installation]→[Host Preparation] の順に移動します。

  2. Deep Securityで保護するNSXクラスタを [Clusters & Hosts] リストから見つけて、[Installation Status] 列で [Install] をクリックします。インストールが完了すると、ドライバのバージョンが [Installation Status] 列に表示されます。

    以上でESXiホストの準備が完了しました。ホストの準備に関するより詳しい手順については、VMwareのドキュメントを参照してください。

手順4: Guest Introspectionをインストールする

不正プログラム対策や侵入防御など、ファイルベースでの保護対策を仮想マシンに対して行うには、Guest IntrospectionサービスをESXiサーバにインストールする必要があります。ゲストイントロスペクションサービスは、ファイルイントロスペクション(vsepflt)ドライバとネットワークイントロスペクション(vnetflt)ドライバの2つのドライバで構成されます。

不正プログラム対策および侵入防御は、Guest Introspectionをインストールしないと機能しません。

  1. vSphere Web Clientで、[Home]→[Networking]→[Security]→[Installation] の順に選択し、[Service Deployments] タブをクリックします。

    VMwareの [Service Deployments]

  2. 緑色のプラスアイコン () をクリックします。

    [Deploy Network & Security Services] 画面が表示されます。

  3. [Guest Introspection] を選択し、[Next] をクリックします。

  4. 保護するESXiサーバおよび仮想マシンを含むクラスタを選択し、[Next] をクリックします。

  5. データストア、NSXクラスタで使用する分散ポートグループ、およびIP割り当ての方法を選択し、[Next] をクリックします。

  6. 設定を確認し、[Finish] をクリックします。

    ESXiサーバにGuest Introspectionサービスがインストールされます。この処理には数分かかることがあります。完了すると、[Installation Status] が「Succeeded」になります。最新のステータスを表示するには、vSphere Web Client画面の更新が必要なことがあります。

    vSphere Clientの更新

手順5: Deep Security Virtual ApplianceをNSX-Vにインストールする

  1. vSphere Web Clientで、[Home]→[Networking and Security]→[Installation]→[Service Deployments] の順に選択します。
  2. 緑色のプラス記号 () をクリックします。

  3. 表示された新しいウィンドウで、[Trend Micro Deep Security] サービスを選択し、[Next] をクリックします。このサービスが表示されない場合は、vCenterがDeep Security Managerにまだ追加されていない可能性があります。詳細については、 手順2: Deep Security ManagerにvCenterを追加するを参照してください。

  4. [完了] をクリックします。

    配信が完了すると、クラスタ内のネットワークとセキュリティサービスの配信のリストに、Trend Micro Deep Securityサービスが表示されます。

手順6: NSX-Vで有効化を準備する

この後の手順で、Deep Securityで仮想マシンを有効化します。このアクティベーションを準備するには、メソッド 1, 2、または3:

メソッドについての詳細は表を参照してください。

 

Deep Security Virtual Appliance環境
  NSX for vSphere (NSX-V) 6.3.x~6.4.x NSX for vSphere(NSX-V)6.4.x NSX-T 2.4.x、2.5.x
方法

標準

または

NSX for vShield Endpoint (無料)

詳細 Enterprise NSX Data Center Standard NSX Data Center Professional NSX Data Center Advanced NSX Data Center Enterprise Plus NSX Data Center for Remote Office Branch Office NSX Data Center Standard NSX Data Center Professional NSX Data Center Advanced NSX Data Center Enterprise Plus NSX Data Center for Remote Office Branch Office

方法1: 「コンピュータの作成」イベントベースタスクを作成する。

方法2: 「NSXセキュリティグループの変更」イベントベースタスクを作成する。

X 1 1 X X 1 1 1 X X X X X

方法3: Deep SecurityポリシーとNSXを同期する。

X 1 1 X X 1 1 1 X X X X X

1 VMwareのNetwork Introspection Serviceが必要です。

方法1: 「コンピュータの作成」イベントベースタスクを作成する

方法2: 「NSXセキュリティグループの変更」イベントベースタスクを作成する

方法3: Deep SecurityポリシーとNSXを同期する

手順7: NSXセキュリティグループおよびポリシーの作成

最初に、NSXセキュリティグループを作成します。

  1. vSphere Web Clientで、[Home]→[Networking & Security]→[Service Composer]→[Security Groups] の順に選択します。
  2. [New Security Group] () をクリックします。

  3. Define Dynamic Membership: このグループのメンバーシップを特定のフィルタ条件に基づいて制限する場合は、その条件を入力します。

  4. 含めるオブジェクトを選択します。次のガイダンスに従います。

    • イベントベースタスクを使用する場合は、必要に応じてすべての仮想マシンをセキュリティグループに追加できます。
    • ポリシーを同期する場合は、割り当てるDeep Securityポリシーに対応する仮想マシンのみを追加します。たとえば、Windows Server 2016ポリシーを割り当てる場合は、Windows Server 2016の仮想マシンのみを含めます。
    • NSXセキュリティグループのオブジェクトを追加または削除する方法は、多数あります。ここでは、保護対象のESXiホストと仮想マシンを含むNSXクラスタを追加します。[Select objects to include] のオプションで、[Object Type] メニューの [Cluster] を選択し、保護対象の仮想マシンを含むNSXクラスタを [Selected Objects] 列に移動します。

    同じ仮想マシンが複数のセキュリティグループに含まれている場合は、Deep Security Managerの [コンピュータ] でその仮想マシン名を検索すると、検索結果に仮想マシン名が重複して表示されます。詳細については、「Duplicate host records appear in Computer page when the host is located in more than one NSX security group」を参照してください。
  5. [Finish] をクリックして新しいセキュリティグループを作成し、[Security Groups] タブに戻って新しいセキュリティグループが表示されることを確認します。

次に、NSXセキュリティポリシーを作成します。

  1. vSphere Web Clientで、[Home]→[Networking and Security]→[Service Composer]→[Security Policies] の順に選択します。
  2. [New Security Policy] をクリックします。

  3. Guest Introspection Services: 不正プログラム対策または侵入防御モジュールを使用している場合は、Guest Introspection Servicesを設定します。

    不正プログラム対策および侵入防御は、Guest Introspectionをインストールしないと機能しません。

    緑色のプラス記号 () をクリックしてEndpointサービスを追加します。Endpointサービスの名前を指定し、次のように設定します。
    • Action: Apply
    • Service Name: Trend Micro Deep Security
    • Service Profile:次のいずれかを選択します。
      • イベントベースタスクを使用する場合は、[Default (EBT)] を選択します。これは、Deep Security Managerでイベントベースタスクを開始するように設定されたプロファイル設定です。
      • ポリシーの同期を使用する場合は、適用するDeep Securityポリシーと一致するプロファイル設定を選択します。
    • State: Enabled
    • Enforce: Yes

    [OK] をクリックし、[Next] をクリックします。

  4. Firewall Rules: この設定は変更しません。[次へ] をクリックします。
  5. Network Introspection Services: Network Introspection ServicesはNSX AdvancedおよびEnterpriseでのみ利用可能で、Webレピュテーション、ファイアウォール、または侵入防御モジュールを使用している場合にのみ設定する必要があります。NSXセキュリティポリシーにNetwork Introspectionサービスを2つ追加します。1つは送信トラフィック用でもう1つは受信トラフィック用です。
    1. 最初に、送信用のサービスを追加します。[Network Introspection Services] オプションで、緑色のプラス記号をクリックして新しいサービスを作成します。[Add Network Introspection Service] 画面で、サービスの名前を指定し (「Outbound」という語句を含めることを推奨)、次のように設定します。
      • Action: Redirect to service
      • Service Name: Trend Micro Deep Security
      • Service Profile:手順4と同じNSXプロファイル設定を選択します。
      • Source: Policy's Security Groups
      • Destination:Any
      • Service:Any
      • State: Enabled
      • Log: Do not log

    2. 次に、受信用のサービスを追加します。[Network Introspection Services] オプションで、緑色のプラス記号をクリックして新しいサービスを作成します。[Add Network Introspection Service] 画面で、サービスの名前を指定し (「Inbound」という語句を含めることを推奨)、次のように設定します。
      • (NSX 6.3.x) 処理: サービスにリダイレクトする

        または

      • (NSX 6.4.x) サービスにリダイレクトする: はい
      • Service Name: Trend Micro Deep Security
      • Service Profile:手順4と同じNSXプロファイル設定を選択します。
      • Source:Any
      • Destination: Policy's Security Groups
      • Service:Any
      • State: Enabled
      • Log: Do not log

    3. [Add Network Inspection Service] 画面で [OK] をクリックし、[Finish] をクリックして完了してから [New Security Policy] 画面を閉じます。

    これで、Deep Security用のNSXセキュリティポリシーが作成されました。

次に、作成したNSXセキュリティポリシーと作成したNSXセキュリティグループを関連付けます。

  1. 引き続き、vSphere Web Clientの [Home]→[Networking & Security]→[Service Composer] 画面の [Security Policies] タブを使用します。
  2. 新しいセキュリティポリシーを選択した状態で、[Apply Security Policy] アイコン () をクリックします。
  3. [Apply Policy to Security Groups] 画面で、保護する仮想マシンが含まれているセキュリティグループを選択し、[OK] をクリックします。

    これで、NSXセキュリティグループの仮想マシンにNSXセキュリティポリシーが適用されました。

最後に、ポリシーの同期を使用する場合は、追加のNSXセキュリティポリシーおよびグループを作成します。

イベントベースタスクを使用する場合、この手順は必要ありません。

  1. 割り当てるDeep Securityポリシーごとに、次を作成します。
    1. 割り当てるDeep Securityポリシーを反映した名前のNSXセキュリティグループ。例: Linux Server Security Group
    2. [Service Profile] を割り当てるDeep Securityポリシーに設定したNSXセキュリティポリシー (Linux Server Security Policyなど)。

    複数のNSXセキュリティポリシーおよびグループが作成されました。次に例を示します。

    Linux Server Security Group

    Linux Server Security Policy

    Windows 10 Desktop Security Group

    Windows 10 Desktop Security Policy

    などです。

  2. 各ポリシーと対応するセキュリティグループを関連付けます。たとえば、Linux Server Security PolicyLinux Server Security Groupを関連付けます。

これで、NSXセキュリティグループとポリシーの作成が完了しました。このNSXセキュリティグループに追加された仮想マシンはDeep Security Managerで有効化され、Deep Securityポリシーが割り当てられます。

手順8: 有効化とポリシーの割り当てを開始する

仮想マシンの有効化とポリシーの割り当ての準備が完了しました。

方法1: 「コンピュータの作成」イベントベースタスクを作成するを選択した場合は、vCenterと手動で同期する必要があります。Deep Security Managerに移動し、左側のvCenterを右クリックして、[今すぐ同期] を選択します。これで、既存の仮想マシンが保護されました。

方法2: 「NSXセキュリティグループの変更」イベントベースタスクを作成するを選択した場合は、すべての仮想マシンの有効化およびポリシーの割り当てが自動的に行われます。確認するには、次の手順を参照してください。

方法3: Deep SecurityポリシーとNSXを同期するを選択した場合は、すべての仮想マシンの有効化およびポリシーの割り当てが自動的に行われます。確認するには、次の手順を参照してください。

手順9: 仮想マシンが有効化されて、ポリシーが割り当てられていることを確認する

Deep Security Managerの仮想マシンが有効化され、ポリシーが割り当てられていることを確認します。

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. 左側で、[コンピュータ]→[<ご使用のvCenter>]→[仮想マシン] を選択します。
  3. [タスク] 列および [ステータス] 列を確認します。(列が表示されていない場合は、上部で [列] をクリックして追加します)。[タスク] 列に [有効化中] と表示され、仮想マシンのステータスが [非管理対象 (不明)] から [非管理対象 (Agentなし)][管理対象 (オンライン)] に変わります。仮想マシンのステータスが [VMware Toolsがインストールされていない] になることがありますが、これは一時的です。
  4. [ポリシー] 列をチェックして、Deep Securityポリシーが正しく割り当てられていることを確認します。

これで、Deep Security Virtual Applianceがインストールされ、仮想マシンが保護されます。

次の手順 (新しい仮想マシンを追加する方法)

新しい仮想マシンをシステムに追加して、Deep Securityで保護する方法については、次の手順に従います。

新しい仮想マシンを追加するために、方法1: 「コンピュータの作成」イベントベースタスクを作成するを選択した場合:

  • vCenterで新しい仮想マシンを作成します。これにより、[コンピュータの作成 (システムによる)] イベントベースタスクが開始し、新しい仮想マシンの有効化およびポリシーの割り当てが行われます。

新しい仮想マシンを追加するために、方法2: 「NSXセキュリティグループの変更」イベントベースタスクを作成するを選択した場合:

  • 仮想マシンを作成するか、仮想マシンをNSXセキュリティグループのいずれかに移動します。これにより、[NSXセキュリティグループの変更] イベントベースタスクが開始し、新しい仮想マシンの有効化およびポリシーの割り当てが行われます。

新しい仮想マシンを追加するために、方法3: Deep SecurityポリシーとNSXを同期するを選択した場合:

  • 仮想マシンを作成するか、仮想マシンをNSXセキュリティグループのいずれかに移動します。これにより、新しい仮想マシンを有効化してポリシーが割り当てられます。