3回目:3rd Party Management Packs (Deep Security)
– Back Number –
#1…カスタムダッシュボードって難しいの?
#2…SDDC Management Packs (VSAN/NSX)
#3…3rd Party Management Packs (Deep Security)
#4…3rd Party Management Packs (F5/NetApp/UCS)
こんにちは、ソフトバンク コマース&サービスの中川明美です。
3回目は、トレンドマイクロ株式会社の製品「Trend Micro Deep Security」とvROpsの連携についてご紹介します。今回は、トレンドマイクロのvExpert 姜(かん)さんと二人で進めます。
◆vROpsと連携できるの?◆
姜さんからおうかがいするまで、Trend Micro Deep Security (以降Deep Security)とvROpsが連携できることを知りませんでした。
私が興味深かったのは、「CPU PERFORMANCE」の画面(左の図)です。「CPU使用率」と「セキュリティイベント」を並べて監視することができます。リソースへの影響をセキュリティイベントから確認できるのは、おもしろい視点ですね!
下図では、セキュリティイベント数が高くなると同時にCPU使用率も高くなっています。この結果から、高いCPU使用率の原因は、セキュリティイベントであろうと推察できます。
Deep Securityをお使いの環境で、仮想マシンのCPU使用率が高い場合、「CPU PERFORMANCE」の画面も確認しておくのが必須ですね。「なぜCPU使用率が高いのか」を、複数ある事象から原因を特定する際に、工数を短縮できそうです。
また、「SECURITY MODULES」の画面(右の図)では、どのイベントが影響を及ぼしているのかを確認できます。ここでは、「ファイアウォールイベント」と「不正プログラム」イベントが「セキュリティ イベント数」と関連しているようです。どちらのイベントも気になりますね!
◆アラートの一括表示も便利◆
Deep Security Managerで検知したアラートを集中管理できるのも便利ですね。1つのツールでインフラ情報とイベント情報を管理することができます。
ここから、姜さんの登場です!
vROpsとDeep Securityが連携することによって、どのような情報が得られるのかをご説明いただきます。
————————————————————————————————————————-
みなさん、こんにちは!
トレンドマイクロ株式会社の姜(かん)と申します。
今回の共同執筆に関しては、中川さんの旧友である弊社インフォメーションサービス本部の今泉からの紹介で実現いたしました。
というのも、弊社インフォメーションサービス本部ではDeep Security + VMware NSX + VMware Horizon + VMware Virtual SAN + VMware vRealize Operations for Horizonという構成で社内のサービスを提供しており、Deep SecurityとvROpsの連携も利用しているのです!
ではさっそくですが、Deep Security とvROpsの連携について説明いたします。
◆Deep Securityって?◆
Deep Securityをご存じない方、いらっしゃると思いますので簡単にご説明します。1つの製品でサーバやVDIの保護に必要なセキュリティをご用意した統合型ソリューションです。
VMware社製品との連携ですと、下図真ん中のエージェントレス型とVDIの組み合わせで多くのお客様にご利用いただいております。
◆Deep SecurityとvROpsの連携って?◆
管理パックを利用することにより、Deep Security Managerで管理しているステータスやイベント情報がvROpsのコンソールから確認できます。
これによりインフラだけではなく、セキュリティのイベントも、vROpsを利用し統合して可視化することが可能です。
◆主なユースケースは?◆
vROps連携で提供できる主な機能は、
・パフォーマンス分析
・セキュリティ分析
となります。
【パフォーマンス分析】は、サーバリソースへの影響をセキュリティイベントから考察するものとなります。
代表的な例としては、中川さんが前述しているような、「サーバのCPU使用率が上昇したけれどインフラ側面からはおかしなことは発生していない」「アクセス過多やキャンペーンも特に行っていない」といった時に、セキュリティ観点で調査をするとセキュリティイベントを多数検知しており、実は何らかの攻撃を受けていたといったものとなります。
【セキュリティ分析】は、各コンピュータのセキュリティイベント傾向を把握するために、「全体 ⇒ 個」へドリルダウンし、イベントの傾向分析を行いやすくするためのものとなります。
ここから、【セキュリティ分析】の主なユースケースについてご紹介します。
◆Heat Map分析◆
こちらはvROpsでもおなじみのHeat Mapですね。
「不正プログラム」や「脆弱性対策」といったセキュリティの機能ごとにMapを表示しますから、各コンピュータのセキュリティ状態や傾向を種別ごとに把握することが可能です。
「Total」には各コンピュータのセキュリティ状態の合計が表示されますので、組織の中で攻撃を受けやすいコンピュータを一目で把握できるようになります。
次に、Heat Map分析の使用例です。
営業、開発、人事といった各部門がコンピュータを利用しており、営業部門の【不正プログラム】には赤いコンピュータがいくつか存在しています。
これは、営業部門が所有しているコンピュータが不正プログラムに感染し、その後潜伏活動を経て別の端末に横感染活動している可能性が考えられます。
更に【Webレピュテーション】を確認すると、不正プログラムに感染している端末のうち2台から外部へ不審な通信が発生していることがわかります。おそらく外部の不正なサーバへ接続した後に、更に不正なプログラムをダウンロードしようとしていたのではと考えられます。
こういった一連の動きがインフラ側から可視化できるだけではなく、組織全体に対する攻撃傾向を把握し、対策を検討していくことも可能かと思います。
◆Metric Graph分析◆
前述のHeat Mapをドリルダウンすることで下図のように各コンピュータの傾向を把握できる【Metric Grap】を閲覧できます。
各コンピュータにおける、「一定期間内でのピークタイム」や「各種イベント発生頻度」の把握が可能となります。
「どの時間帯に攻撃を受けやすいのか?」「どういった攻撃を頻繁に受けているのか?」といったことを確認できます。
◆Top “N”分析◆
Top”N”は各コンピュータのセキュリティイベントを分析し、頻繁にイベントが発生しているコンピュータを抽出します。下図は「脆弱性対策」のイベント数となりますが、「Firewall」、「Webレピュテーション」、「変更監視」や「不正プログラム対策」のTop”N”も利用できるため、セキュリティ種別ごとに攻撃を受けているコンピュータをリスト化できます。
◆管理パックの入手方法◆
管理パックはトレンドマイクロのSoftware Download Centerから入手可能となっております。
下記URLへアクセス頂き、「Tools/Utilities」タブをクリックして頂くと管理パックがダウンロード可能となります。
http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=4855&lang_loc=1
注1)Deep Securityの管理パックは無償でご利用可能です。
注2)管理パックは日本語OSでもご利用可能です。(メニューは英語表記のままとなります)
セキュリティはインフラと密接に関係していますが、運用管理の面では製品間連携ができていないかと思います。また使い勝手が悪く敬遠されがちかと思いますが、そういったお悩みをお持ちの方は、ぜひこの機会に触ってみていただければと思います。
それでは、中川さんにお返しします。
————————————————————————————————————————-
姜さん、私も勉強になりました!
「セキュリティ」に関する運用は、本当に大変だと思います。情報をすばやく入手し、対応できる環境を準備するのは、もはや前提なのかもしれませんね!
今回は、トレンドマイクロ株式会社 インフラストラクチャーサービス課 テクニカルマネージャーの今泉 芳延氏に企画をもちかけられ、トレンドマイクロ株式会社とソフトバンク コマース&サービス株式会社のvExpertでBlogを共同執筆するにいたりました。
今泉氏がサービスを提供されている仮想基盤は、まさにVMware製品で構成されたSDDC (Software Defined Datacenter)です。豊富なナレッジが蓄積されてそうです!
4回目は、カスタムダッシュボード設計の参考にしていただきたく、数社の管理パック画面をご紹介します。お楽しみに!
ソフトバンク C&Sのサイトで仮想化健康診断の事例を紹介しています。運用のヒントになるかもしれません。
詳細についは、以下↓↓アイコン↓↓をクリックして下さい!
//
//
