Applianceのインストール (NSX-V)

アプライアンスを配信する前にのタスクを完了したら、NSX Data Center for vSphere(NSX-V).)にアプライアンスを配信する準備ができました。以下の手順に従ってください。

新しいOSの脆弱性から保護するためにApplianceをアップグレードするすることもできます。

手順1: Deep Security Managerにアプライアンスパッケージをインポートします。

アプライアンスを配信する前にのタスクを完了したら、アプライアンスZIPをDeep Security Managerにインポートする準備ができました。

アプライアンスのZIPをインポートする代わりに、OVFファイルをURL の場所に配置して、NSXがより高速にダウンロードできるようにすることもできます。詳細については、アプライアンスのOVFの場所を設定するを参照してください。

  1. 移動先:

    https://help.deepsecurity.trendmicro.com/ja-jp/software.html

  2. Deep Security Virtual Applianceパッケージをダウンロードします。システム要件のバージョン要件を確認してください。

    複数バージョンのアプライアンスをインポートできます。マネージャは、最新のパッケージを選択します。

  3. Deep Security Managerで、[管理]→[アップデート]→[ソフトウェア]→[ローカル] に進みます。

  4. [インポート] をクリックして、パッケージをDeep Security Managerにアップロードします。

    インポート時、 Deep Security Manager も仮想アプライアンスVMのOSと互換性のあるエージェントを自動的にダウンロードおよびインポートします。このエージェントには、 Deep Security Agent for 64ビットRed Hat Enterprise Linuxと同じ保護モジュールがあります。

  5. 別の組み込みエージェントを指定する場合は、管理>  システム設定>  アップデートにアクセスし、仮想アプライアンスの配信。初期設定では、仮想アプライアンスの配信オプションは最新のバージョン(推奨)に設定されています。これは、マネージャに、インポートされた最新の組み込みエージェントを使用するように仮想アプライアンスをアップグレードすることを示します。必要に応じて、この設定を変更します。

手順2: Deep Security ManagerにvCenterを追加する

VMware vCenterの追加の手順に従ってください。

完了後:

  • ゲストVMがDeep Security Managerに表示されます。
  • Trend Micro Deep SecurityサービスがNSX-Tに登録されています。

手順3: ESXiサーバの準備

NSX Advanced EditionまたはNSX Enterprise Editionを使用する場合は、ネットワークトラフィックの監視に必要なドライバをインストールして、ESXiサーバを準備する必要があります。この処理はクラスタ上で実行します。

別のエディションのNSXを使用している場合は、このセクションをスキップしてください。

  1. vSphere Web Clientで、[Home]→[Networking & Security]→[Installation]→[Host Preparation] の順に移動します。

  2. Deep Securityで保護するNSXクラスタを [Clusters & Hosts] リストから見つけて、[Installation Status] 列で [Install] をクリックします。インストールが完了すると、ドライバのバージョンが [Installation Status] 列に表示されます。

    以上でESXiホストの準備が完了しました。ホストの準備に関するより詳しい手順については、VMwareのドキュメントを参照してください。

手順4: Guest Introspectionをインストールする

不正プログラム対策や侵入防御など、ファイルベースでの保護対策を仮想マシンに対して行うには、Guest IntrospectionサービスをESXiサーバにインストールする必要があります。

ゲストイントロスペクションサービスは、ファイルイントロスペクション(vsepflt)ドライバとネットワークイントロスペクション(vnetflt)ドライバの2つのドライバで構成されます。

不正プログラム対策および侵入防御は、Guest Introspectionをインストールしないと機能しません。

  1. vSphere Web Clientで、[Home]→[Networking]→[Security]→[Installation] の順に選択し、[Service Deployments] タブをクリックします。

    VMwareの [Service Deployments]

  2. 緑色のプラスアイコン () をクリックします。

    [Deploy Network & Security Services] 画面が表示されます。

  3. [Guest Introspection] を選択し、[Next] をクリックします。

  4. 保護するESXiサーバおよび仮想マシンを含むクラスタを選択し、[Next] をクリックします。

  5. データストア、NSXクラスタで使用する分散ポートグループ、およびIP割り当ての方法を選択し、[Next] をクリックします。

  6. 設定を確認し、[Finish] をクリックします。

    ESXiサーバにGuest Introspectionサービスがインストールされます。この処理には数分かかることがあります。完了すると、[Installation Status] が「Succeeded」になります。最新のステータスを表示するには、vSphere Web Client画面の更新が必要なことがあります。

    vSphere Clientの更新

手順5: Deep Security Virtual ApplianceをNSX-Vにインストールする

  1. vSphere Web Clientで、[Home]→[Networking and Security]→[Installation]→[Service Deployments] の順に選択します。
  2. 緑色のプラス記号 () をクリックします。

  3. 表示された新しいウィンドウで、[Trend Micro Deep Security] サービスを選択し、[Next] をクリックします。このサービスが表示されない場合は、vCenterがDeep Security Managerにまだ追加されていない可能性があります。詳細については、 手順2: Deep Security ManagerにvCenterを追加するを参照してください。

  4. [完了] をクリックします。

    配信が完了すると、クラスタ内のネットワークとセキュリティサービスの配信のリストに、Trend Micro Deep Securityサービスが表示されます。

手順6:NSXセキュリティグループとポリシーを作成する

開始するには、Deep Security Virtual Applianceで保護する仮想マシンを含むNSXセキュリティグループを作成します。

  1. vSphere Web Clientで、[Home]→[Networking & Security]→[Service Composer]→[Security Groups] の順に選択します。

  2. [New Security Group] () をクリックします。

  3. Define Dynamic Membership: このグループのメンバーシップを特定のフィルタ条件に基づいて制限する場合は、その条件を入力します。

  4. 含めるオブジェクトを選択します。

    NSXセキュリティグループのオブジェクトを追加または削除する方法は、多数あります。ここでは、保護対象のESXiホストと仮想マシンを含むNSXクラスタを追加します。[Select objects to include] のオプションで、[Object Type] メニューの [Cluster] を選択し、保護対象の仮想マシンを含むNSXクラスタを [Selected Objects] 列に移動します。

    VM が複数のセキュリティグループに含まれている場合、Deep Security Manager の コンピュータ に移動して VM の名前を検索すると、検索結果に複数回表示されます。詳細については、ホストが複数の NSX セキュリティグループにある場合、コンピュータページに重複したホストレコードが表示される を参照してください。

  5. [Finish] をクリックして新しいセキュリティグループを作成し、[Security Groups] タブに戻って新しいセキュリティグループが表示されることを確認します。

次に、NSXセキュリティポリシーを作成します。

  1. vSphere Web Clientで、[Home]→[Networking and Security]→[Service Composer]→[Security Policies] の順に選択します。
  2. [New Security Policy] をクリックします。

  3. Guest Introspection Services: 不正プログラム対策または侵入防御モジュールを使用している場合は、Guest Introspection Servicesを設定します。

    不正プログラム対策および侵入防御は、Guest Introspectionをインストールしないと機能しません。

    緑色のプラス記号 () をクリックしてEndpointサービスを追加します。Endpointサービスの名前を指定し、次のように設定します。
    • Action: Apply
    • Service Name: Trend Micro Deep Security
    • サービスプロフィール: 初期設定(EBT)を選択します。これは、 Deep Security Managerでイベントベースのタスクを実行するように設定されたプロファイル設定です。
    • State: Enabled
    • Enforce: Yes

    [OK] をクリックし、[Next] をクリックします。

  4. Firewall Rules: この設定は変更しません。[次へ] をクリックします。
  5. Network Introspection Services: Network Introspection ServicesはNSX AdvancedおよびEnterpriseでのみ利用可能で、Webレピュテーション、ファイアウォール、または侵入防御モジュールを使用している場合にのみ設定する必要があります。NSXセキュリティポリシーにNetwork Introspectionサービスを2つ追加します。1つは送信トラフィック用でもう1つは受信トラフィック用です。
    1. 最初に、送信用のサービスを追加します。[Network Introspection Services] オプションで、緑色のプラス記号をクリックして新しいサービスを作成します。[Add Network Introspection Service] 画面で、サービスの名前を指定し (「Outbound」という語句を含めることを推奨)、次のように設定します。
      • Action: Redirect to service
      • Service Name: Trend Micro Deep Security
      • サービスプロフィール: 初期設定(EBT)を選択する
      • Source: Policy's Security Groups
      • Destination:Any
      • Service:Any
      • State: Enabled
      • Log: Do not log

    2. 次に、受信用のサービスを追加します。[Network Introspection Services] オプションで、緑色のプラス記号をクリックして新しいサービスを作成します。[Add Network Introspection Service] 画面で、サービスの名前を指定し (「Inbound」という語句を含めることを推奨)、次のように設定します。
      • サービスにリダイレクト:はい
      • Service Name: Trend Micro Deep Security
      • サービスプロフィール: 初期設定(EBT)を選択する
      • Source:Any
      • Destination: Policy's Security Groups
      • Service:Any
      • State: Enabled
      • Log: Do not log

    3. [Add Network Inspection Service] 画面で [OK] をクリックし、[Finish] をクリックして完了してから [New Security Policy] 画面を閉じます。

    これで、Deep Security用のNSXセキュリティポリシーが作成されました。

最後に、作成したNSXセキュリティポリシーを、作成したNSXセキュリティグループに関連付けます。

  1. 引き続き、vSphere Web Clientの [Home]→[Networking & Security]→[Service Composer] 画面の [Security Policies] タブを使用します。
  2. 新しいセキュリティポリシーを選択した状態で、[Apply Security Policy] アイコン () をクリックします。
  3. [Apply Policy to Security Groups] 画面で、保護する仮想マシンが含まれているセキュリティグループを選択し、[OK] をクリックします。

    これで、NSXセキュリティグループの仮想マシンにNSXセキュリティポリシーが適用されました。

これで、NSXセキュリティグループとポリシーの作成が完了しました。これらのNSXセキュリティグループに追加されたVMはDeep Security Managerでアクティベートされ、 Deep Securityポリシーが割り当てられます。

手順7: NSX-Vで有効化を準備する

アクティベーションを準備するには、方法1,2、または3を使用できます。

方法1: 「コンピュータの作成」イベントベースタスクを作成する

方法2: 「NSXセキュリティグループの変更」イベントベースタスクを作成する

方法3:Deep SecurityポリシーをNSX-Vと同期する

手順8: 有効化とポリシーの割り当てを開始する

仮想マシンの有効化とポリシーの割り当ての準備が完了しました。

  • 方法1を選択した場合は、vCenterを手動で同期する必要があります。Deep Security Managerに移動し、左側のvCenterを右クリックして、[ 同期]を選択します。これで、既存の仮想マシンが保護されました。
  • 方法2または3を選択した場合、すべてのVMをアクティベートし、ポリシーを自動的に割り当てる必要があります。確認するには、次の手順を参照してください。

手順9: 仮想マシンが有効化されて、ポリシーが割り当てられていることを確認する

確認するには

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. 左側で、[コンピュータ]→[<ご使用のvCenter>]→[仮想マシン] を選択します。
  3. [タスク] 列および [ステータス] 列を確認します。(列が表示されていない場合は、上部で [列] をクリックして追加します)。[タスク] 列に [有効化中] と表示され、仮想マシンのステータスが [非管理対象 (不明)] から [非管理対象 (Agentなし)][管理対象 (オンライン)] に変わります。仮想マシンのステータスが [VMware Toolsがインストールされていない] になることがありますが、これは一時的です。
  4. [ POLICY]列で、正しいDeep Securityポリシーが割り当てられていることを確認します。

これで、 Deep Security Virtual Applianceが配置され、VMが保護されました。

次の手順 (新しい仮想マシンを追加する方法)

次の手順に従って、新しいVMをシステムに追加してDeep Securityで保護する方法を確認してください。

方法1を選択した場合、新しいVMを追加するには(「コンピュータ作成」のイベントベースのタスク):を作成します。

  • vCenterで新しい仮想マシンを作成します。これにより、[コンピュータの作成 (システムによる)] イベントベースタスクが開始し、新しい仮想マシンの有効化およびポリシーの割り当てが行われます。

方法2を選択した場合に新しいVMを追加するには、次の手順に従います(「NSX Security Group Change」イベントベースのタスク):を作成します)。

  • 仮想マシンを作成するか、仮想マシンをNSXセキュリティグループのいずれかに移動します。これにより、[NSXセキュリティグループの変更] イベントベースタスクが開始し、新しい仮想マシンの有効化およびポリシーの割り当てが行われます。

方法3を選択した場合に新しいVMを追加するには(Deep SecurityポリシーをNSX):と同期します)

  • 仮想マシンを作成するか、仮想マシンをNSXセキュリティグループのいずれかに移動します。これにより、新しい仮想マシンを有効化してポリシーが割り当てられます。