サイジング

Deep Security環境のサイジングガイドラインは、ネットワーク、ハードウェア、およびソフトウェアの規模によって異なります。

Deep Security Managerのサイジング

Deep Security Managerのサイジングの推奨値は、エージェントの数によって異なります。

Agentの数 CPUの数 RAM JVMプロセスメモリ Managerノードの数 推奨ディスク容量
<500 2 16 GB 8 GB 2 200 GB
500~1000 4 16 GB 8 GB 2 200 GB
1000~5000 4 16 GB 8 GB 2 200 GB
5000~10000 8 16 GB 12 GB 2 200 GB
10000~20000 8 24 GB 16 GB 2 200 GB

最大限のパフォーマンスを発揮するには、Deep Security Managerプロセスに十分なJava仮想マシン (JVM) メモリを割り当てることが重要です。Deep Security Managerのメモリ使用量の設定を参照してください。

Deep Security Managerの推奨設定の検索はCPU負荷が高くなります。推奨設定の検索を実行する頻度を決定する際には、パフォーマンスへの影響を考慮してください。推奨設定の検索の管理と実行を参照してください。

多数の仮想マシンが同時に再起動され、各AgentがDeep Security Managerとの接続を同時に再確立すると、リソースの使用量が急増する場合があります。

複数のサーバノード

可用性とスケーラビリティを向上させるために、ロードバランサを使用して、同じバージョンのDeep Security Managerを2つのサーバ (「ノード」) にインストールします。これらを同じデータベースに接続します。

データベースサーバの負荷が高くならないように、データベースサーバ1台につき接続するDeep Security Managerノードは2個までにしてください。

各Managerノードがすべてのタスクを実行できます。あるノードが他のノードよりも重要ということはありません。すべてのノードにログインでき、Agent、Appliance、およびRelayはどのノードにも接続できます。1つのノードで障害が発生してもサービスは継続され、データが失われることはありません。

データベースのサイジング

必要となるデータベースのCPU、メモリ、およびディスク容量は、以下の要素によって異なります。

  • 保護されているコンピュータの数
  • Deep Security Agentをインストールするプラットフォームの数
  • 1秒あたりに記録されるイベント (ログ) の数 (有効になっているセキュリティ機能に関連)
  • イベントの保持期間
  • データベーストランザクションログのサイズ

最小ディスク容量 = (2 x Deep Securityのデータサイズ) + トランザクションログ

たとえば、データベースとトランザクションログのサイズが合計40GBの場合は、データベーススキーマのアップグレード中に80GB (40 x 2) の空きディスク容量が必要です。

ディスクの空き容量を増やすには、使用されていないプラットフォーム用の不要なAgentパッケージ(Deep Securityデータベースからソフトウェアパッケージを削除するを参照)、トランザクションログ、不要なイベントレコードを削除します。

イベントの保持期間は設定可能です。セキュリティイベントの場合、保持期間はポリシー、個々のコンピュータ設定、またはその両方で設定されます。ポリシー、継承、およびオーバーライドログとイベントの保存に関するベストプラクティスを参照してください。

イベントによるディスク使用量を最小限に抑えるには、次の操作を行います。

  • イベントをローカルではなくリモートに保存します。イベントの保持期間を長くする必要がある場合は (コンプライアンスのためなど)、イベントをSIEMまたはSyslogサーバに転送してから、削除機能を使用してローカルコピーを削除します(Deep SecurityイベントをSyslogまたはSIEMサーバに転送するを参照)。

    アプリケーションコントロールと変更監視の一部の操作 (ベースラインの再構築、変更の検索、およびインベントリの変更の検索) では、すべてのレコードがローカルに保持され、削除されることも転送されることもありません。

  • 侵入防御を有効にする前に、保護されているコンピュータのソフトウェアにパッチを適用します。推奨設定の検索では、脆弱なOSを保護するために、より多くのIPSルールが割り当てられます。セキュリティイベントが増えると、ローカルまたはリモートのディスク使用量が増加します。
  • TCP、UDP、ICMP用のステートフルファイアウォールなど、頻繁にログを記録する不要なセキュリティ機能を無効にします。

Deep Securityファイアウォールまたは侵入防御機能を使用する、トラフィックの多いコンピュータでは、1秒あたりに記録するイベント数が多くなるため、パフォーマンスの高いデータベースが必要になることがあります。また、ローカルのイベント保持期間の調整も必要になる場合があります。

大量のファイアウォールイベントが予想される場合は、「ポリシーで未許可」イベントを無効にすることを検討してください(ファイアウォールの設定を参照)。

Deep Security Managerのパフォーマンス機能も参照してください。

データベースのディスク容量の見積もり

次の表には、イベントの保持期間に初期設定を使用した場合のデータベースのディスク容量の見積もりを示します。有効にする保護モジュールの合計ディスク容量が「2つ以上のモジュール」の値を超える場合は、より小さい見積もりを使用してください。たとえば、Deep Securityの不正プログラム対策、侵入防御システム、変更監視を使用して750のAgentを配置するとします。個々の推奨の総数は320 GB(20 + 100 + 200)ですが、「2つ以上のモジュール」の推奨はそれ以下(300 GB).そのため、300GBと見積もります。

Agentの
不正プログラム対策 Web
レピュテーション
サービス
セキュリティログ
監視
ファイアウォール 侵入防御 アプリケーション
コントロール
変更
監視
2つ以上のモジュール
1~99 10 GB 15 GB 20 GB 20 GB 40GB 50 GB 50 GB 100 GB
100~499 10 GB 15 GB 20 GB 20 GB 40GB 100 GB 100 GB 200 GB
500~999 20 GB 30 GB 50 GB 50 GB 100 GB 200 GB 200 GB 300 GB
1000~9999 50 GB 60 GB 100 GB 100 GB 200 GB 500 GB 400 GB 600 GB
10,000~20,000 100 GB 120 GB 200 GB 200 GB 500 GB 750 GB 750 GB 1 TB

データベースのディスク容量は、個々のDeep Security Agentプラットフォームの数に伴って増加します。たとえば、30のAgent (Agentプラットフォームごとに最大5つのバージョン) がある場合、データベースサイズが約5GB増加します。

Deep Security AgentおよびRelayのサイジング

プラットフォーム 有効になっている機能 最小RAM 推奨RAM 最小ディスク容量
Windows すべての保護 2 GB 4 GB 1 GB
Windows Relayのみ 2 GB 4 GB 30 GB
Linux すべての保護 2 GB 5 GB 1 GB
Linux Relayのみ 2 GB 4 GB 30 GB
Solaris すべての保護。Relayはサポート対象外 4 GB 4 GB 2 GB
AIX すべての保護。Relayはサポート対象外 4 GB 4 GB 2 GB

OSバージョンによっては、必要なRAMが少なくなります。また、一部のDeep Security機能だけを有効にする場合も同様です。

保護されたコンピュータでVMware vMotionを使用する場合は、10GBのディスク領域を追加します。

さまざまなプラットフォームにDeep Security Agentをインストールする場合、Relayで必要となるディスク容量が増加します(Relayではプラットフォームごとにアップデートパッケージが保存されます)。詳細については、Deep Security Agentソフトウェアの入手を参照してください。

小規模な配置では、リレーを Deep Security Managerと同じ場所に配置できます。デプロイメントに多数のエージェントがある場合(10,000を超える), の場合は、別の専用サーバにリレーをインストールする必要があります)リレーのオーバーロードが発生すると、アップデートの再配布が遅くなります。 リレーの最適な数と位置を計画する

Deep Security Virtual Applianceのサイジング

Deep Security Virtual Applianceソフトウェアは一連のOVFファイルとして配信され、それぞれに異なる配信サイズと種類の異なるリソースセットが割り当てられます。環境に最も適したOVFファイルを選択する必要があります。詳細については、下の表を参照してください。

Deep Security Virtual Applianceのメモリ割り当ても参照してください。

OVFファイル vCPU vRAM ディスク容量 仮想ハードウェアバージョン NSXタイプ 保護されているVMの最大数 DPDKのサポート
dsva.ovf 2 4 GB 20 GB 13(ESXi 6.5+) NSX-V 10 不可
dsva-small.ovf 4 8 GB 20 GB 13(ESXi 6.5+) NSX-V 50 不可
dsva-medium.ovf 6 16 GB 20 GB 13(ESXi 6.5+) NSX-V 200 不可
dsva-large.ovf 8 24 GB 20 GB 13(ESXi 6.5+) NSX-V 300 不可
dsva-<20.x.x-xxxx>-C2M4-small.ovf 2 4 GB 20 GB 13(ESXi 6.5+) NSX-T 10 不可
dsva-<20.x.x-xxxx>-C4M8-small.ovf 4 8 GB 20 GB 13(ESXi 6.5+) NSX-T

10(DPDKが有効な場合)

50(DPDKが無効)

はい*
dsva-<20.x.x-xxxx>-C6M16-medium.ovf 6 16 GB 20 GB 13(ESXi 6.5+) NSX-T 200(DPDKが無効の場合) 不可
dsva-<20.x.x-xxxx>-C8M16-medium.ovf 8 16 GB 20 GB 13(ESXi 6.5+) NSX-T DPDKが有効な150 はい*
dsva-<20.x.x-xxxx>-C8M24-large.ovf 8 24 GB 20 GB 13(ESXi 6.5+) NSX-T DPDKが無効な300(DPDKが無効) 不可
dsva-<20.x.x-xxxx>-C12M24-large.ovf 12 24 GB 20 GB 13(ESXi 6.5+) NSX-T 300(DPDKが有効な場合) はい*

DPDKモードを有効にするには、DPDKモードを設定するしてください。

上記の要件は、以下の機能によって変化する場合があります。

侵入防御を有効にする前に、保護されているコンピュータのソフトウェアにパッチを適用します。推奨設定の検索では、脆弱なOSを保護するために、より多くのIPSルールが割り当てられます。これによって、Applianceのメモリ使用量が増加します。たとえば、次の表では、300の仮想マシン (仮想デスクトップインフラストラクチャ (VDI) としてのフル、リンク、またはインスタントクローン) でのIPSルールの数によってvRAMの使用量がどのように増加するかを示しています。

侵入防御ルールの数 ApplianceのvRAM使用量
350~400 24 GB
500~600 30 GB
600~700 40GB
700以上 50GB以上

Applianceが多数の仮想マシンを保護していて、タイムアウトエラーにより推奨設定の検索が失敗する場合は、推奨設定の検索の管理と実行を参照してタイムアウト値を大きくしてください。