サイジング

Deep Security環境のサイジングガイドラインは、ネットワーク、ハードウェア、およびソフトウェアの規模によって異なります。

Deep Security Managerのサイジング

Deep Security Managerのサイジングの推奨値は、エージェントの数によって異なります。

希望する場合は、YouTubeで Deep Security 12 - DSMシステム要件と のサイズを確認できます。

Agentの数 CPUの数 RAM JVMプロセスメモリ Managerノードの数 推奨ディスク容量
<500 2 8GB 4GB 2 200GB
500~1000 4 8GB 4GB 2 200GB
1000~5000 4 12GB 8GB 2 200GB
5000~10000 8 16GB 12GB 2 200GB
10000~20000 8 24GB 16GB 2 200GB

最大限のパフォーマンスを発揮するには、Deep Security Managerプロセスに十分なJava仮想マシン (JVM) メモリを割り当てることが重要です。Deep Security Managerのメモリ使用量の設定を参照してください。

Deep Security Managerの推奨設定の検索はCPU負荷が高くなります。推奨設定の検索を実行する頻度を決定する際には、パフォーマンスへの影響を考慮してください。推奨設定の検索の管理と実行を参照してください。

多数の仮想マシンが同時に再起動され、各AgentがDeep Security Managerとの接続を同時に再確立すると、リソースの使用量が急増する場合があります。

複数のサーバノード

可用性とスケーラビリティを向上させるために、ロードバランサを使用して、同じバージョンのDeep Security Managerを2つのサーバ (「ノード」) にインストールします。これらを同じデータベースに接続します。

データベースサーバの負荷が高くならないように、データベースサーバ1台につき接続するDeep Security Managerノードは2個までにしてください。

各Managerノードがすべてのタスクを実行できます。あるノードが他のノードよりも重要ということはありません。すべてのノードにログインでき、Agent、Appliance、およびRelayはどのノードにも接続できます。1つのノードで障害が発生してもサービスは継続され、データが失われることはありません。

データベースのサイジング

必要となるデータベースのCPU、メモリ、およびディスク容量は、以下の要素によって異なります。

  • 保護されているコンピュータの数
  • Deep Security Agentをインストールするプラットフォームの数
  • 1秒あたりに記録されるイベント (ログ) の数 (有効になっているセキュリティ機能に関連)
  • イベントの保持期間
  • データベーストランザクションログのサイズ

最小ディスク容量 = (2 x Deep Securityのデータサイズ) + トランザクションログ

たとえば、データベースとトランザクションログのサイズが合計40GBの場合は、データベーススキーマのアップグレード中に80GB (40 x 2) の空きディスク容量が必要です。

ディスクの空き容量を増やすには、使用されていないプラットフォーム用の不要なAgentパッケージ(Deep Securityデータベースからソフトウェアパッケージを削除するを参照)、トランザクションログ、不要なイベントレコードを削除します。

イベントの保持期間は設定可能です。セキュリティイベントの場合、保持期間はポリシー、個々のコンピュータ設定、またはその両方で設定されます。ポリシー、継承、およびオーバーライドログとイベントの保存に関するベストプラクティスを参照してください。

イベントによるディスク使用量を最小限に抑えるには、次の操作を行います。

  • イベントをローカルではなくリモートに保存します。イベントの保持期間を長くする必要がある場合は (コンプライアンスのためなど)、イベントをSIEMまたはSyslogサーバに転送してから、削除機能を使用してローカルコピーを削除します(Deep SecurityイベントをSyslogまたはSIEMサーバに転送するを参照)。

    アプリケーションコントロールと変更監視の一部の操作 (ベースラインの再構築、変更の検索、およびインベントリの変更の検索) では、すべてのレコードがローカルに保持され、削除されることも転送されることもありません。

  • 侵入防御を有効にする前に、保護されているコンピュータのソフトウェアにパッチを適用します。推奨設定の検索では、脆弱なOSを保護するために、より多くのIPSルールが割り当てられます。セキュリティイベントが増えると、ローカルまたはリモートのディスク使用量が増加します。
  • TCP、UDP、ICMP用のステートフルファイアウォールなど、頻繁にログを記録する不要なセキュリティ機能を無効にします。

Deep Securityファイアウォールまたは侵入防御機能を使用する、トラフィックの多いコンピュータでは、1秒あたりに記録するイベント数が多くなるため、パフォーマンスの高いデータベースが必要になることがあります。また、ローカルのイベント保持期間の調整も必要になる場合があります。

大量のファイアウォールイベントが予想される場合は、「ポリシーで未許可」イベントを無効にすることを検討してください(ファイアウォールの設定を参照)。

Deep Security Managerのパフォーマンス機能も参照してください。

データベースのディスク容量の見積もり

次の表には、イベントの保持期間に初期設定を使用した場合のデータベースのディスク容量の見積もりを示します。有効にする保護モジュールの合計ディスク容量が「2つ以上のモジュール」の値を超える場合は、より小さい見積もりを使用してください。たとえば、Deep Securityの不正プログラム対策、侵入防御システム、変更監視を使用して750のAgentを配置するとします。個々の推奨の総数は320 GB(20 + 100 + 200)ですが、「2つ以上のモジュール」の推奨はそれ以下(300 GB).そのため、300GBと見積もります。

Agentの
不正プログラム対策 Web
レピュテーション
サービス
セキュリティログ
監視
ファイアウォール 侵入防御 アプリケーション
コントロール
変更
監視
2つ以上のモジュール
1~99 10GB 15GB 20GB 20GB 40GB 50GB 50GB 100GB
100~499 10GB 15GB 20GB 20GB 40GB 100GB 100GB 200GB
500~999 20GB 30GB 50GB 50GB 100GB 200GB 200GB 300GB
1000~9999 50GB 60GB 100GB 100GB 200GB 500GB 400GB 600GB
10,000~20,000 100GB 120GB 200GB 200GB 500GB 750GB 750GB 1 TB

データベースのディスク容量は、個々のDeep Security Agentプラットフォームの数に伴って増加します。たとえば、30のAgent (Agentプラットフォームごとに最大5つのバージョン) がある場合、データベースサイズが約5GB増加します。

Deep Security AgentおよびRelayのサイジング

必要に応じて、YouTubeで Deep Security 12 - Agentのシステム要件と のサイズを確認できます。

プラットフォーム 有効になっている機能 最小RAM 推奨RAM 最小ディスク容量
Windows すべての保護 2GB 4GB 1GB
Windows Relayのみ 2GB 4GB 30GB
Linux すべての保護 1GB 5GB 1GB
Linux Relayのみ 2GB 4GB 30GB
Solaris すべての保護。Relayはサポート対象外 4GB 4GB 2 GB
AIX すべての保護。Relayはサポート対象外 4GB 4GB 2 GB

OSバージョンによっては、必要なRAMが少なくなります。また、一部のDeep Security機能だけを有効にする場合も同様です。

保護されているコンピュータでVMware vMotionを使用する場合は、10GBのディスク容量を追加して、合計推奨値は40GBになります。

さまざまなプラットフォームにDeep Security Agentをインストールする場合、Relayで必要となるディスク容量が増加します(Relayではプラットフォームごとにアップデートパッケージが保存されます)。詳細については、Deep Security Agentソフトウェアの入手を参照してください。必要なRelayの数を確認するには、Relayによるセキュリティとソフトウェアのアップデートの配布を参照してください。

Deep Security Virtual Applianceのサイジング

初期設定では、Deep Security Virtual Applianceに割り当てられるメモリは4GBだけです。Applianceは、同じESXiサーバにある仮想マシン (VM) を保護します。Applianceに最小限割り当てる必要があるvCPU数とメモリ容量は、保護されている仮想マシンの数と、割り当てられている侵入防御 (IPS) ルールの数によって異なります。以下の表の要件では、仮想マシンごとに350〜400のIPSルールを想定しています。Deep Security Virtual Applianceのメモリ割り当ても参照してください。

保護されている仮想マシンの数 最小vCPU 最小vRAM 最小ディスク容量
1~25 2 6GB 20GB
26~50 2 8GB 20GB
51~100 2 10GB 20GB
101~150 4 12GB 20GB
151~200 4 16GB 20GB
201~250 6 20GB 20GB
251~300 6 24GB 20GB

上記の要件は、以下の機能によって変化する場合があります。

侵入防御を有効にする前に、保護されているコンピュータのソフトウェアにパッチを適用します。推奨設定の検索では、脆弱なOSを保護するために、より多くのIPSルールが割り当てられます。これによって、Applianceのメモリ使用量が増加します。たとえば、次の表では、300の仮想マシン (仮想デスクトップインフラストラクチャ (VDI) としてのフル、リンク、またはインスタントクローン) でのIPSルールの数によってvRAMの使用量がどのように増加するかを示しています。

侵入防御ルールの数 ApplianceのvRAM使用量
350~400 24GB
500~600 30GB
600~700 40GB
700以上 50GB以上

Applianceが多数の仮想マシンを保護していて、タイムアウトエラーにより推奨設定の検索が失敗する場合は、推奨設定の検索の管理と実行を参照してタイムアウト値を大きくしてください。