Home > Blogs > Japan Cloud Infrastructure Blog

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(5)

エージェントレス型ウイルス対策のアーキテクチャ(1)

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。前回まではVMware NSXとDeep Securityを組み合わせたエージェントレス型セキュリティのメリットや基本的なコンポーネントなどについてご紹介してきました。では、実際にどのようや仕組みでエージェントレス型セキュリティが実現されているのか?という疑問もあるかと思います。今回からは数回にわたってエージェントレス型セキュリティのアーキテクチャ、その際に抑えておくべきポイントなどを技術的な側面から解説していきたいと思います。

まずは、仮想デスクトップ(VDI)環境では多くご利用を頂いているエージェントレス型ウイルス対策がどのような仕組みで実現されているかを解説していきたいと思います。

 

エージェントレス型セキュリティ実装時のウイルス検索処理の流れ

はじめにVMware NSXとDeep Securityの連携によるエージェントレス型(仮想マシンにセキュリティソフトウェアを導入しない)でウイルス対策がどのような流れで実行されているかを確認しておきましょう。

  1. 仮想マシンにインストールされたGuest Introspection Driverに含まれるvsepfilt.sysがファイルのアクセス(読み取り/書き込み)を検出
  2. vepfilt.sysがESXiホスト上のプロセスvShield-Endpoint-MUXへアクセス情報を送信(VMCI経由)
  3. vShield-Endpoint-MUXからDSVAのプロセスds_amへアクセス情報を送信(TCP/IPコネクション経由)
    DSVAのマルウェアスキャンエンジンのスキャンポリシー(スキャン条件、スキャンキャッシュの有無など)に従いマルウェアスキャンが必要かどうかをチェック
    マルウェアスキャンが必要と判断された場合、vsepfilt.sysに対してファイル取得リクエストをレスポンス
  4. vsepfilt.sysが該当のストレージ領域からファイルを取得
  5. 検索対象ファイルをvShield-Endpoint-MUX経由でDSVA(ds_am)へ送信
  6. マルウェアスキャンエンジンがウイルス検索を実行
  7. ウイルス検索イベント(検索結果・実施アクション)をvsepfilt.sysへ通知
  8. マルウェア判定されていた場合、vsepfilt.sysがイベントに基づき隔離、削除などのアクションを実施

エージェントレス型のウイルス検索処理おいてポイントとなるのは以下の点です。

  • ウイルス検索する対象ファイルの検出、アクション自体はVMware vSphere/NSX側のコンポーネントが担っている
  • ウイルス検索の実行、アクションの決定はDeep Security Virtual Applianceが行う

また、Deep Securityにおいてこの仕組みは不正プログラム対策のほかに変更監視機能でも利用されています。変更監視機能では仮想マシン上のファイル、ディレクトリの情報を取得してベースラインからの改ざんがなされていないかを確認することができますが、ファイル、ディレクトリ情報の取得にもこの仕組みを利用しているわけですね。

 

エージェントレスでもトリガーするためのドライバが必要

そしてこの流れを見ていただいたわかるとおり、エージェントレスではありますが、仮想マシンでのファイルアクセスを検出するためのドライバが必要であるということも重要な点です。
このドライバがなければ、ファイルアクセスを検出することもウイルス検索のための上記のプロセスをトリガーすることもできません。
このブログではGuest Introspection Driverと記載をしてきていますが、現行バージョンではNSXファイル自己検証ドライバと呼ばれています。VMware Toolsに含まれるVMCIドライバのひとつでこれを有効化しておく必要があります。
ちなみにNSXファイル自己検証ドライバの下にあるNSXネットワーク自己検証ドライバというものもあります。“ネットワーク”とあるので、Deep Securityのファイアウォール、侵入防御機能などを利用する場合に有効化する必要があるのではないかと思われると思いますが、こちらのドライバはDeep Securityのどの機能を利用する場合でも有効化の必要はありません。

また、エージェントレス型セキュリティの場合、ウイルス検索の結果マルウェアが検出された場合、それをWindowsにログインしているユーザに通知する仕組みがありません。突然ファイルが見えなくなってしまっては何が起こっているかわかりませんね。業務サーバであればそれでも運用が困ることは少ないと思いますが、仮想デスクトップ環境ではそうはいきません。
そのため、Deep SecurityにはDeep Security Notifierというポップアップツールを提供しています。NotifierはNSXファイル自己検証ドライバと連携してDeep Securityの検出状況をユーザに提供することができます。
NSXファイル自己検証ドライバ、Notifierともにパターンファイルなどの情報は保持していませんので、ログインごとに仮想マシンが生成されるような仮想デスクトップ環境であってもマスターイメージにこの2つのモジュールをあらかじめインストールしておくことによりスムーズな展開、運用が可能となります。

 

まとめ

ここまでエージェントレス型セキュリティにおけるウイルス検索の流れと仕組みを見てきました。
ただし、まだ押さえておかなくてはならない点があります。DSVAはvSphere/NSXの仕組みを通してウイルス検索を行うファイル情報を受け取っていますが、この仕組みを利用できるようにNSX側のサービスを設定しておく必要があります。
次回はその仕組みについて解説をしたいと思います。

 

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

  1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
  2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
  3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
  4. VMware NSXとDeep Securityのユースケースと実現できることとは?
  5. エージェントレス型ウイルス対策のアーキテクチャ(1)

 

仮想スイッチのお作法 Part 3

日本ヒューレット・パッカード株式会社の中川明美です。

「仮想スイッチのお作法」は、以前所属する会社名で執筆していたものです。

最近こちらのブログのフィードバックをいただくことがあり、サブタイトルにあります「分散スイッチへの道」を継続投稿することにいたしました。

マーケット的には、「VMware NSX」が注目されていますね。NSXは分散スイッチを拡張した機能を持ちます。標準スイッチから分散スイッチ、分散スイッチからNSXへと、順次ステップアップしていくのはNSXを理解する一つの方法ではないかと思います。それは、私自身がNSXの認定コースを受講した際に、「分散スイッチがわかっているとNSXを理解しやすい」と感じたからです。

あらためて分散スイッチを知りたい方、将来的にネットワークも仮想化しようとプランされていらっしゃる方の一助になれば幸いです。

3回目以降は、次の内容で進めます。

#3… vSphere 6.5の分散スイッチの機能とアーキテクチャ

#4…分散スイッチの管理①

#5…分散スイッチの管理②

#6…Network I/O Control

 

◆vSphere 6.5で提供される分散スイッチの機能

下表は分散スイッチが提供する機能の一部です。

一般的なレイヤー2物理スイッチと同様に、IPアドレスまたはMACアドレスでトラフィックのフィルタリング、CoSタグまたはDSCPタグでトラフィックにマーキングすることもできます。

◆分散スイッチ提供のライセンス

分散スイッチは、次の製品のエディションで提供されます。

vSphere Standardエディション環境であっても、VMware NSX for vSphereを購入すれば分散スイッチを使用することができます。

(参考) VMware NSX for vSphereのエディション

https://kb.vmware.com/s/article/2145269

◆分散スイッチのアーキテクチャ

下図は、分散スイッチのアーキテクチャです。

<アップリンクポートグループ>

分散スイッチを理解するには、「アップリンクポートグループ」から。#2で「dvUplink Ports」と表現したコンポーネントです。

アップリンクポートグループは論理的な物理NICのポートです。分散スイッチを作成する際、1つ以上のアップリンクポート数を指定します。NICチーミング (フェイルオーバーおよびロードバランシング) を設定するなら、2つ以上のアップリンクポート数を指定する必要があります。

上図では3つのアップリンクポートを構成しています。「Uplink1」にはESXiホスト1のvmnic0とESXiホスト2のvmnic0を、「Uplink2」にはESXiホスト1のvmnic1とESXiホスト2のvmnic1を、「Uplink3」にはESXiホスト1のvmnic2とESXiホスト2のvmnic2を割り当てている想定です。

Uplink#が論理的な物理NICのポートであり、標準スイッチでたとえるなら、選択可能な3つの物理NICがあるのと同様です。

下図は分散ポートグループのNICチーミングの設定画面です。標準スイッチでは「有効なアダプタ」と表示されますが、分散ポートグループでは「アクティブアップリンク」と表示されます。

 

<管理プレーンとデータプレーン>

vSphere の仮想スイッチは、「データプレーン」と「管理(制御)プレーン」の2つのセクションで構成されます。標準スイッチは仮想スイッチ内に「データプレーン」と「管理(制御)プレーン」が含まれますが、分散スイッチは「データプレーン」と「管理(制御)プレーン」が分離されます。

分散スイッチの「管理プレーン」は、vCenter Serverにあり、データセンターレベルでネットワーク構成を一元管理します。「データプレーン」は、分散スイッチに関連付けられる各ホストで管理します。分散スイッチのデータプレーンセクションをホストプロキシスイッチ (または隠された仮想スイッチ) と呼びます。

vCenter Server (管理プレーン) で作成するネットワーク構成は、すべてのホストプロキシスイッチ (データプレーン) に自動的にプッシュダウンされます。そのため、vCenter Serverが停止したとしても、I/Oは停止しません。vCenter Serverの障害がネットワークトラフィックに影響されることはありません。ただしvCenter Serverが開始されるまで、新たなネットワーク構成を行うことはできません。

<参考>

参考までにNSXのコンポーネントをご紹介します。

この図では、NSXのコンポーネントを4つの役割および目的で分類しています。

NSXには論理ネットワークの管理のためにデータプレーンと分離する、「NSX Controller」や「NSX論理ルータコントロール仮想マシン」の制御プレーンがあります。

データプレーンには、分散スイッチを拡張したNSX vSwitch (L3スイッチ) があります。ESXiホストにVIBパッケージをインストールし、L2スイッチの分散スイッチをL3スイッチのNSX vSwitchに拡張します。

※NSXと分散スイッチ

ドキュメントに、「分散スイッチの計画と準備を行ってから、NSXをインストールすることがベストプラクティス」とあります。NSXへの移行を検討されている方は、次のドキュメントを参照ください。

https://docs.vmware.com/jp/VMware-NSX-for-vSphere/6.4/com.vmware.nsx.install.doc/GUID-9B22794A-AC90-418D-BAA7-199D9559CF29.html

◆分散スイッチのデータフロー

下図を例に、分散スイッチのデータフローを確認します。

たとえば、仮想マシンネットワークの分散ポートグループには4台の仮想マシン用の仮想NICのポートが割り当てられ (4個の分散ポートを使用)、VMkernelネットワークの分散ポート グループにはESXiホスト2台のvMotion用の仮想NICのポートが割り当てられた(2個の分散ポートを使用)とします。

また、仮想マシン用ネットワークは、Uplink1とUplink2を使用し、ロードバランシング設定にします。vMotion用ネットワークはUplink3を使用します。各ESXiホストのネットワーク接続を提供するために、vmnic0をUplink1へ、vmnic1をUplink2へ、vmnic2をUplink3へマッピングします。

分散スイッチは次の処理を行います。

  • 分散ポートグループの作成順に、仮想マシンおよびVMkernelにポートを割り当て、0 ~ 5のIDを使用して、ポート番号を割り当てる
  • ESXiホスト1とESXiホスト2を分散スイッチに関連付ける
  • ESXiホストの作成順に、ESXiホストの各物理NICにポート (アップリンクポート) を割り当て、上記の続きとなる6から始まるIDを使用して、ポート番号を割り当てる
  • Uplink1とUplink2は仮想マシンネットワークのポートグループのトラフィックを処理し、Uplink3はVMkernelネットワークのポートグループのトラフィックを処理する

◆ホストプロキシスイッチのパケットフロー

ESXiホスト側では、仮想マシンおよびVMkernelからのパケットを特定のポートから物理ネットワークへ送信します。

ホストプロキシスイッチは次の処理を行います。

  • ESXiホスト1上の仮想マシン1から送信されるパケットは、仮想マシンネットワークの分散ポートグループのポート0へ送信
  • 分散スイッチのUplink1とUplink2は、仮想ネットワークのポートグループのトラフィックを処理するために、パケットをホストプロキシスイッチのアップリンクポート6またはアップリンクポート7へ送信
  • パケットがアップリンクポート6を通過する場合はvmnic0へ、パケットがアップリンクポート7を通過する場合はvmnic1へ送信

 

◆まとめ

今回は、分散スイッチのアーキテクチャについてご紹介しました。

分散スイッチでは、「管理」と「データ」のセクションが明示的に分離されているため、ネットワークポリシーの構成や設定をvCenter Server側で一元管理します。一方、データの管理は各ESXiホストが行います。ホストプロキシスイッチにフォーカスすると、標準スイッチと同様ですね。

 

分散スイッチの各ポートがホストプロキシスイッチ (隠された仮想スイッチ) のポートにマッピングされていることを知ると、vCenter Serverが停止しても、プッシュダウンされたポリシーによって、I/Oに影響がないことを理解いただけたのではないかと思います。

分散スイッチと標準スイッチの異なる点の1つにポートID (番号) があげられます。標準スイッチではポートは割り当てられますが、IDは付与されません。仮想マシンの仮想NICを仮想スイッチポートに割り当てるタイミングと方法を設定するポートバインドについては次回取り上げます。

参考としてNSXのコンポーネントについてもご紹介しました。NSXは分散スイッチを拡張したものと理解すると、難しい製品なのでは?と思うハードルが下がりますね。このブログから分散スイッチを知り、さらにNSXへの興味を高めていただけたら嬉しく思います。

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(4)

VMware NSXとDeep Securityのユースケースと実現できることとは?

 

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。このたび、VMware vExpert 2018 に選出をいただきました。今後もVMwareソリューションの優位性やトレンドマイクロのソリューションを組み合わせたメリットや技術情報を皆さんにお伝えをしてければと思っております。

 

前回はVMware NSX環境でDeep Security Virtual Appliance(DSVA)によるエージェントレス型セキュリティを実装するために必要なコンポーネントと基本構成について解説しました。
VMware NSX環境でDeep Securityを利用いただくケースとしては、大きく分けると2つのシチュエーションがあります。

  1. 仮想デスクトップ(VDI)環境
  2. サーバマイクロセグメンテーション(いわゆるサーバ環境の保護)

今回はそれぞれのケースでどのように利用されているかをご紹介したいと思います。

 

ユースケース1:仮想デスクトップ(VDI)環境

仮想デスクトップ環境におけるDeep Securityによるエージェントレス型セキュリティ対策は、VMware NSXが登場する前にVMwareがサードパーティ連携を提供していたVMware vShield Endpointというコンポーネントとの連携も含めると2011年あたりからご提供しています。
いまや仮想デスクトップ環境のセキュリティといえば、“Deep Security”というくらいまで認知を頂けるようになるほど業種を問わず多くのお客様にてご利用頂いており、数万台規模でご導入いただいている企業、団体様もございます。
採用いただいているポイントとしては、第2回でも少し記載をしていますが、改めてあげて整理をしてみたいと思います。

(1)仮想デスクトップ(仮想マシン)毎にセキュリティソフトウェアを導入する必要がない

エージェントレス型セキュリティに移行するとESXiホスト毎にセキュリティ専用アプライアンス(DSVA)が配信されることとなり、仮想デスクトップ側にセキュリティソフトウェアを導入する必要はなくなります。また、仮想デスクトップユーザは、朝の時間帯で発生するパターンファイルのアップデートやお昼の時間帯などの定期的なウイルス検索によって仮想デスクトップのパフォーマンスが悪くなってしまうような事象が解消され、セキュリティソフトウェアの稼動を意識することなく業務に従事できるようになり、利便性の向上にも寄与することができます。

(2)セキュリティ対策に共有リソースを使用するため、消費リソースを削減できる

仮想デスクトップ環境では、サーバ環境に比べると1台のESXiホストに対する仮想マシンの集約率が高くなる傾向があります。100台近い仮想デスクトップが集約された環境でそれぞれにウイルス対策ソフトウェアを導入すればホストベースで見ると100台分のアプリケーションリソースを消費していることになります。
各仮想デスクトップのセキュリティ機能をDSVAにオフロードすることにより、集約率の高い環境であればあるほど、ホストからみたリソースの消費は効率化されます。効率化されたリソースの分だけさらに集約率を向上させることにより、ハードウェアコストの削減につなげることも可能です。
※集約率とセキュリティ対策に必要なDSVAなどのセキュリティ専用アプライアンスのサイジングとのバランスは考慮する必要があります。

(3)vSphere環境でのユースケースを考慮した実装となっている

vSphere環境では多くの場合、DRS/vMotionを利用して仮想マシンの最適なリソース配置を行っています。仮想デスクトップが他のホストにvMotionしてもvCenterのインベントリ情報をDeep Securityがリアルタイムに監視することにより、自動的に他のホスト上でもセキュリティ対策を継続します。また、Horizon のリンククローンやインスタントクローンなどの展開方式に関わらず対応できるような設計となっています。
インスタントクローンへの対応については、第1回の記事をご覧ください。

Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策

 

ユースケース2:サーバマイクロセグメンテーション

Deep Securityはもともとサーバセキュリティ製品としてリリースをされ、物理環境、クラウド環境、そして仮想化環境問わずさまざまな環境でご利用いただいています。
加えて、サーバセキュリティに必要な多くの機能を提供が可能で、環境に関わらず同一のコンソールから一元管理できることも大きなメリットとなっています。

各監督官庁がリリースするセキュリティガイドラインや国際的なセキュリティ統一基準(PCI-DSSなど)などに準拠するために利用いただいているケースも多くあります。

Deep SecurityとVMware NSXを利用いただくことにより、各ESXiホストに配置される分散ファイアウォールでの仮想マシン単位での適切なアクセス制御とDeep Securityの各セキュリティ機能によるサーバ要塞化を実現することができます。

また、vCenter Server / NSX Managerが連携していることによりポリシーの適用漏れがないかを簡単に確認することもでき、セキュリティ強化にとどまらず、セキュリティ実装の証明、適用している内容の可視化、そして運用の効率化という側面からも優位性が高いソリューションとなっています。

 

さらにVMware NSXとDeep Securityが連携していると、Deep Security Virtual Applianceでセキュリティイベントを検出した際に、NSX分散ファイアウォールと連携して該当の仮想デスクトップのネットワーク通信の制御(実質的な隔離)を行うことも可能です。
ウイルスを検出した際に、PCのLANケーブルを抜くようなオペレーションを自動的に実行してくれるというわけですね。(ウイルスの隔離に失敗した場合にだけ隔離するといった細かい制御も可能です。)
自動隔離まで行わない場合でも分散ファイアウォールを仮想化環境で使うことには大きなメリットがあります。
それはランサムウェアや標的型サイバー攻撃に対する被害の拡散の防止です。分散ファイアウォールでは仮想デスクトップ同士の通信をブロックするポリシーを1行で書くことができますので、これによって同一セグメントにありながら、ランサムウェアや標的型サイバー攻撃の足がかりとなるマルウェアを実行してしまった場合でも他の端末に対して情報を取得したり、感染を行う“横”の通信(Lateral Movement)をブロックすることができます。サーバセグメントにおいても不必要な通信に対するアクセス制御を行うことよって被害の拡大を最小限に食い止めることが可能となりますし、その状況を可視化することもできます。

 

 

まとめ

Deep Securityはどのような環境においてもご利用いただける統合型エンドポイントセキュリティ製品となっています。VMware NSXと連携することでアクセス制御を中心としたセキュリティ機能の向上もさることながら、実際の運用現場で必要となる情報を可視化して実装を証明できるといった側面もあります。
セキュリティレベルの向上と合わせて、こういった部分も注目をしてセキュリティの実装要件を検討いただくことで、よりフィットしたセキュリティの適用が可能になると思います。

次回以降は、少し技術的なお話に移って生きたいと思います。なぜ、エージェントレスでセキュリティ実装が可能なのかをアーキテクチャを深堀りしながら解説していきたいと思います。

 

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

  1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
  2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
  3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
  4. VMware NSX と Deep Securityのユースケースと実現できることとは?
  5. エージェントレス型ウイルス対策のアーキテクチャ(1)

 

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(3)

VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成

 

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。前回はDeep SecurityをVMware NSXと連携した際のメリットについてご紹介をしましたが、3回目となる今回は、VMware NSXとDeep Securityの連携によるエージェントレスセキュリティを実現するために必要なコンポーネントとその基本構成について解説していきたいと思います。ネットワーク、サーバの設計、構築を担当されているエンジニアの皆様には見慣れない用語も出てくるかもしれませんが、VMware vSphere とNSXの関係、そしてDeep Securityとの連携のポイントを把握する上で、アーキテクチャを正しく理解することは重要となりますので、しっかり抑えていただきたいと思います。

 

VMware コンポーネント

まず、システムの基盤となるVMware vSphere のコンポーネントです。

  • ESXi(ハイパーバイザ)
    ESXi は ハイパーバイザ型仮想化ソフトウェアのことであり、ホスト OS の代わりにハードウェア上で直接動作し、ESXi 上でゲスト OS を複数台動作させることが可能です。(もはや解説は必要ないですね。)
  • vCenter Server
    vSphere 環境において、各ESXiホスト、仮想マシンの管理、機能の有効化・リソース監視などの統合管理を実現します。管理者は vCenter からホスト や仮想マシンの状態をリアルタイムに確認し、仮想マシンのデプロイやスマップショットの取得、バックアップ等も実行することができます。
    Deep Securityはインベントリ情報などの多くの情報をvCenter Serverとのリアルタイム同期によって取得をしていますので、必ずvCenter Serverとの接続性が確保されていることが重要です。

次にエージェントレスによるセキュリティ対策を提供するために必要なVMware NSXのコンポーネントをご紹介します。

  • NSX Manager
    NSX Manager はすべての NSX コンポーネントの管理を実施する管理サーバとして動作します。vCenter Server とは別の仮想アプライアンスとして動作しますが、NSXが提供するサービスは vCenter Server から NSX Manager を経由して管理されます。
  • Guest Introspection
    Deep Securityなどサードパーティ製品がセキュリティサービスなどを提供する際に必要な仮想アプライアンスとして保護対象となるESXiホストに配信されます。不正プログラム対策、ファイル変更監視などのセキュリティ機能をエージェントレスで提供する上で必要となる仮想マシン毎のNSXセキュリティポリシーの管理を行います。
  • Guest Introspection Driver(NSXファイル自己検証ドライバ)
    エージェントレスで仮想マシンに対する不正プログラム対策、ファイル変更監視などを行う際には、保護対象の仮想マシンにこのドライバをインストールする必要があります。仮想マシン上のNSXファイル自己検証ドライバにより検出されたファイルへのアクセス情報は、ESXiホスト経由でDeep Securityなどのサードパーティのセキュリティアプライアンスへ連携されます。(VMware Tools内のVMCIドライバとして提供されています。)
  • Network Introspection
    Deep Securityなどサードパーティ製品がネットワークセキュリティ機能を提供する際に有効化する必要がある機能です。Network Introspectionサービスのポリシー設定、有効化することにより、対象となる仮想マシンへの通信をサードパーティ製品へリダイレクトすることが可能となります。Deep Securityにてファイアウォール、侵入防御、Webレピュテーションを利用する際に有効化します。
  • 分散スイッチ(vSphere Distributed Switch)
    複数のESXiホストをまたがって構成する仮想スイッチで、仮想マシンを複数のホスト間で移行する場合でも、仮想マシンに対して一貫したネットワーク構成を提供することができます。ネットワークポリシーはvCenter Serverで一元管理され、NSX環境においては分散スイッチを利用することが原則となります。
    ※NSX for vShield Endpointを利用する場合は、標準スイッチ(vSphere Standard Switch)を利用することも可能です。

 

Trend Micro Deep Security コンポーネント

続いて仮想マシンに対して実際のセキュリティ機能を提供するDeep Securityのコンポーネントをご紹介します。

  • Deep Security Manager(DSM)
    DSMは、WebベースでDeep Securityの防御コンポーネント(Deep Security AgentおよびDeep Security Virtual Appliance)を統合管理するサーバです。設定、ログの多くはデータベースに格納する仕様となっており、セキュリティ管理者が実行するセキュリティポリシーの作成や管理、ログの集約などに必要な機能を提供します。なお、データベースについては構成によって、DSMと同じOS上に構築する場合と、DSM用のデータベースを別OS上で構築する場合があります。
  • Deep Security Agent(DSA)
    DSAは、仮想マシンのOS上に直接インストールされ動作することで、Deep Securityで提供されるほぼすべてのセキュリティ保護機能を一括で提供できます。DSAの各機能はモジュール化されており、スクリプトインストールを行うことにより必要なセキュリティモジュールのみをインストールすることで仮想マシンのリソース消費を必要最低限にすることも可能です。また、DSAをリレー化することによってDeep Security Relayとして機能させることができます。
  • Deep Security Relay(DSR)
    Deep Securityは新たな脅威に対応するため、Deep Securityソフトウェアやウイルスパターンファイル、侵入防御シグネチャなどが日々アップデートされています。DSRは、インターネット上のトレンドマイクロのダウンロードサイトからセキュリティアップデート、新しいソフトウェアビルドのダウンロードを行うとともにDSAおよびDSVAへの配信も担います。そのため、DSRはDeep Securityシステム全体で最低1台は必要となります。(DSRはDSA中のひとつのサービスとして有効化することで機能します。)
  • Deep Security Virtual Appliance(DSVA)
    DSVAは、vSphere環境で実行されるセキュリティコンポーネントです。Agentが直接仮想マシンのOS上にインストールされるのに対して、DSVAはVMware NSX と連携し、VMware ESXiホスト上で実行される仮想アプライアンスとして動作し、同一ホスト上の仮想マシンを保護します。仮想マシンのOS上にセキュリティソフトウェアをインストールすること無く、エージェントレスによるDeep Securityのセキュリティ機能を提供することができます。
  • Notifier[オプション]
    DSVAで保護されている仮想マシンでセキュリティイベントが発生した場合、その仮想マシンにログインしているユーザはその状況を知るすべがありません(エージェントレスのため)。Notifierをインストールしていると不正プログラムなどを検出・隔離したとき、または不正なWebページにアクセスしたときなどにユーザにポップアップ通知が表示されます。NotifierはDSVAで保護されている仮想マシン(Windows)内で動作し、必要なディスク容量は1MB未満、メモリサイズは1MB未満です。導入は必須ではありませんが、主にVDI環境で利用している場合には利用を推奨しております。
  • Smart Protection Server(SPS)[オプション]
    SPSは、Webレピュテーションおよびファイルレピュテーションのデータベースをローカルに保持するための仮想アプライアンスです。SPSは社内ネットワークに構築され、トレンドマイクロがクラウド提供しているSmart Protection Network(SPN)と連携します。DSAやDSVAはSPSを参照してWebレピュテーションおよびファイルレピュテーションの機能を提供します。

 

VMware NSX & Trend Micro Deep Security 基本構成

コンポーネントがずらーっ!と並んでしまって分かりにくくなってしまったかもしれませんが、ここでVMware NSXとDeep Securityを連携させるためにどのようなシステム構成を組む必要があるかをご紹介しておきましょう。

図の左側のvCenter Server、NSX Manager、Deep Security Managerが管理コンポートネント群となり、Guest Introspection、Deep Security Virtual Applianceがセキュリティサービスを提供するコンポーネント群として各ESXiホストに配信される構成となっています。
コンポーネント間の関係性において重要な点をいくつか挙げておきたいと思います。

また、システム全体の設計においては以下の点も事前にチェックをしておいてください。

  • Deep Securityコンポーネント間の通信ポート
  • Deep SecurityとVMwareコンポーネント間の使用通信ポート
    DSMからvCenter Server、NSX Managerに対してはTCP443でアクセスできることが必要となります。また、NSX環境では各ESXiホストへのGuest Introspection、DSVAの配信はvCenter Serverが管理をします。
    また、配信の際にはESXiホスト上に内部コネクション用の仮想スイッチ(vmservice-vswitch)が自動的に生成されます。この仮想スイッチのポートグループ、IPアドレス、ポート番号は手動で変更する必要はありません。

<vmwervice-vswitchイメージ図>

<DSとVMware NSX関連コンポーネントの通信フロー>

  • 名前解決
    Deep Securityを利用する環境においては、コンポーネント間の通信において名前解決が可能な設計を行う必要があります。
  • ハートビート
    DSMとDSVA/DSAの間ではステータス管理のため、10分毎(デフォルト:最短1分に変更可能)にハートビート通信を行っています。DSM⇔DSVA間のハートビートは双方向通信(デフォルト)が必須となりますので、ハートビートの通信方向の変更を行わないようにしてください。
  • 時刻同期
    Deep Securityの環境構築においては、システム間の連携が重要となること、イベントログの正確な取得のためにシステム全体をNTPによる時刻同期を計ることが重要です。また、Deep Security ManagerのOSのシステム時間は、データベースコンピュータの時間と同期している必要があります。コンピュータの時間がデータベースの時間と30秒以上前後すると、Manager管理コンソールの [アラートステータス] ウィジェットにこのアラートが表示されます。NTPの設定においては、タイムゾーンが一致するように同一のNTPソースを指定するようにしてください。

 

まとめ

システムを設計、構築、運用していく上で、各コンポーネントの役割や基本的な構成を理解頂くことは重要な点となります。一見複雑に見えるかもしれませんが、今回ご紹介したポイントを抑えて頂ければ安定したシステムを構築することができると思います。
当社のサポートサイトにはDSVAを構築する際のチェックシートも公開をしていますので、こちらもご参考にしてください。

今後、さらに連携の仕組みを深掘りしていきたいと思います。

 

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

  1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
  2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
  3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
  4. VMware NSX と Deep Securityのユースケースと実現できることとは?
  5. エージェントレス型ウイルス対策のアーキテクチャ(1)

 

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(2)

VMware NSX + Deep Secuirty 連携によるエージェントレスセキュリティとは?

 

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。前回は最近よくお問い合わせを頂いていたVMware vSphere/NSX+VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合にDeep Securityがどのように対応ができるのか?ということを解説しました。
ただ、そもそもDeep SecurityとVMwareソリューションってどのように連携するの?それってどんなことがうれしいの?実際にどういった仕組みで連携しているの?といった点をご存じない方も多くいらっしゃると思います。また実際に設計、構築、運用をされるパートナー様、ご利用いただいているユーザ様にも改めてその魅力や仕組みを知って頂きたいと思っています。
そこで、今後何回かに分けて、そのメリットや仕組みについてお伝えをしてきたいと思います。

今回はまずDeep Securityにより解決できる課題とその特徴、VMware NSXと連携によるメリットを概観していきたいと思います。

 

システム管理者が抱えるインフラ管理におけるセキュリティ課題

仮想化技術の向上により、今や企業、公共団体など幅広い業種においては、サーバ仮想化はいまや当たり前のものとなっています。クラウドサービスの急激な浸透の背景にも仮想化技術を生かしたインフラが大きく貢献をしています。当然のことながら私たちも含めたエンジニアにとっても仮想化技術はもはや「基礎技術」といっても過言ではなくなっており、今はストレージ、ネットワークの仮想化やコンテナなどの採用が進みつつあります。そのような中で現在のインフラ管理を担当するシステム管理者が抱えている課題としては以下のようなものが挙げられると思います。

  • サーバの集約率をあげた場合にアプリケーション、ユーザの業務パフォーマンスに影響を与える可能性がある(ウイルス検索の負荷など)
  • 最新のセキュリティアップデート、パターンファイルの適用確認作業といった管理が煩雑
  • サーバリソースの有効活用は可能となったが、それに伴うネットワークリソースの最適化、セキュリティポリシーの追随ができていない(それぞれの運用を個別に行う必要がある)
  • パブリッククラウドを含めたマルチクラウドを意識した統一したセキュリティ運用の仕組みが考慮されていない(オンプレミス環境とクラウド環境を分けて考える)

こういった課題は単にセキュリティをどのように担保するかということに留まらず、インフラ全体の運用を見据えて解決をしていく必要があります。

 

Deep Securityが採用される理由

Deep Securityは、OSにセキュリティソフトウェアとして導入するDeep Security Agent(DSA)とVMware vSphere/NSXと連携するDSVAの2つの防御コンポーネントを利用してサーバ保護から仮想デスクトップ保護までを一元的に提供することが可能なソリューションです。Deep Securityは上記のようなインフラシステムにおける課題を解決できるセキュリティパッケージとして幅広いお客様にて利用をいただいており、採用されている理由としては以下のようなことが挙げられます。

  • エージェント型、エージェントレス型の防御コンポーネントを利用することにより、システム環境に応じて仮想マシンのリソースに影響を最小限にとどめつつ、仮想サーバのセキュリティを担保できる
  • システムに応じた適切なセキュリティポリシーの適用と、最新のセキュリティアップデート、パターンファイルの適用を仮想マシン単位で統合管理ができる
  • さまざまなインフラ環境と連携することによりサーバ、ネットワーク環境の変化に自動的に追随してセキュリティ対策を継続できる
  • オンプレミス、クラウドに限らず、マルチクラウド環境で統一したセキュリティ運用が実現可能

昨今のITシステムにおいて「セキュリティ」を考えない、ということはもはや難しい状況となっている中で、さまざまなセキュリティ課題に対してDeep Securityを有効活用いただくことで解決の道筋をつけていただいています。

また、特徴的なのはVMware vSphere環境においてDeep Securityを利用する場合は、VMware NSXとの連携により仮想マシンにエージェント型ソフトウェアを導入する必要のないエージェントレス型によるセキュリティ実装も選択可能なことです。ここ数年、仮想デスクトップ(VDI)を採用される企業、公共団体なども増加してきており、特にこの領域ではDeep Security Virtual Appliance(DSVA)によるエージェントレスセキュリティが多く採用されています。

では、Deep SecurityとVMware vSphere/NSXの連携によるメリットはどのようなところにあるのでしょうか?

 

Deep SecurityとVMware vSphere/NSX連携のメリット

Deep SecurityとVMware vSphere/NSXの連携のメリットは大きく3つ上げられます。

  1. 仮想マシンにエージェントを導入することなく、セキュリティ対策が提供できる(エージェントレス型セキュリティ)
  2. VMware NSXセキュリティポリシーとDeep Securityポリシーの連携(インフラシステムと連動したセキュリティ運用の統一)
  3. Deep SecurityイベントをトリガーとしたNSX分散ファイアウォールによる仮想マシンの自動隔離(セキュリティインシデント発生時の一次対処の自動化)

それぞれのメリットを簡単に見ていきましょう。

 

1) エージェントレス型セキュリティ

エージェンレスでのセキュリティ実装を行う場合には、各ESXiホストに対して1台のセキュリティ専用アプライアンスとしてDeep Security Virtual Appliance(DSVA)を配置します。
DSVAは、VMware vSphere/NSX及び仮想マシン側に導入するVMware Toolsと連携をします。(詳細については次回以降解説していきます。)

エージェントレス型セキュリティ対策を導入することによって、以下のような効果を期待することができます。

  1. 仮想デスクトップ環境の統一的なセキュリティの確保(DSVAにて仮想マシン毎のセキュリティポリシーを管理)
  2. セキュリティチェックの簡素化と運用負荷の軽減(最新のセキュリティアップデート、パターンファイルはDSVAにのみ配信)
  3. セキュリティ機能の負荷をDSVA(=セキュリティ専用アプライアンス)に集約させることによる仮想デスクトップの集約率向上とそれに伴うコスト削減
  4. セキュリティ機能を仮想デスクトップから切り離すことによるユーザ利便性の向上とアプリケーションへの影響の提言(セキュリティ機能を意識せずに業務を実施可能)

特に昨今の仮想デスクトップ環境では、仮想マシンの展開にフルクローン、リンククローン、そしてインスタントクローン方式などニーズに応じてさまざまな方式が採用されるようになりました。動的に仮想マシンが生成されるケースも多いため、パターンファイルやルールを保持するソフトウェアエージェントを導入する必要のないDSVAによるエージェントレス型セキュリティ対策は、マスターイメージの維持、運用などの負担を減らすことができ、セキュリティ面のみならず日々の運用の観点からもメリットのあるソリューションとなっています。

 

2) インフラシステムと連動したセキュリティ運用の統一

Deep Securityを管理するDeep Security Manager(DSM)は、vSphere環境を管理するvCenter、NSXサービスを管理するNSX Managerと連携をすることができます。DSMはESXiホスト、仮想マシンの情報をリアルタイムで同期するとともに、vCenter Server/NSX Managerに対してDeep Securityが保持しているポリシー情報を提供しており、仮想マシンの生成、削除、DRS/vMotionによるホスト間の移動などの仮想インフラ側の変化に対しても予め設定されたDeep Securityのポリシーをシームレスに適用していくことが可能となっています。仮想マシンの状態に応じてセキュリティポリシーを自動的に適用できることにより、インフラ運用とセキュリティ運用の統合を実現できます。

 

3) セキュリティインシデント発生時の一次対処の自動化

DSMにてある仮想マシンでセキュリティイベントが検出された際にNSXセキュリティタグを付与するオプションを設定しておくことにより、Deep Securityのイベントをトリガーとして該当する仮想マシンの属性(所属するセキュリティグループ)であるセキュリティタグによって変更することによって、適用されるファイアウォールポリシーを変更することが可能となります。(詳細の動作仕様については次回以降解説していきます。)

 

Deep SecurityとVMware vSphere/NSX連携を利用するには

DSVAによるエージェントレスでのセキュリティ機能を利用する場合には、VMware NSXのコンポーネントと連携をする必要があることはすでにお話をしました。NSXのライセンスによってDSVAで提供することができるセキュリティ機能が異なりますので、押さえておいていただければと思います。

上記の表は、縦軸にNSXライセンス、横軸にDeep Securityの機能を記載しています。
※コンバインモードについては別途このブログの中でも触れる機会を設ける予定です。概要についてはFAQをご参照ください。

ここで抑えておいていただきたいポイントをいくつか挙げておきます。

  • NSX for vShield Endpointは、NSXライセンスをアクティベートすることなくNSX Managerをデプロイする形態となるため、NSXライセンスがなくてもDSVAによる不正プログラム対策だけであれば提供可能(ポリシー連携などの機能は使えないが、Deep Securityのイベントベースタスクを利用することで代替可能)
  • DAVAによるWebレピューテション、侵入防御、ファイアウォールを利用したい場合は、NSX Advanced 以上のライセンスが必要
  • vCloud Network and Security(vCNS/vShield Endpoint)を利用しているお客様もこちらに移行することが可能
  • DSVAによるエージェントレス型セキュリティ対策は、VMware vSphere /NSX環境であれば、どのような仮想デスクトップの展開方式でも利用可能

 

まとめ

VMware vSphere/NSX とDeep Securityを組み合わせることによって、仮想インフラのメリットを損なわずセキュリティを担保していくことが可能となり、運用性を高めていくことが可能であることをご理解いただけたのではないかと思います。また、エージェントレス型セキュリティの採用により、セキュリティ機能によるユーザ作業、アプリケーションのパフォーマンス影響を避けることができることも可能となります。

次回以降、VMware vSphere/NSX+Deep Security連携ソリューションがどのような仕組みで実現をしているのか、それをどういった形で利用できるのかなどを紹介していきたいと思います。

 

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

  1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
  2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
  3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
  4. VMware NSX と Deep Securityのユースケースと実現できることとは?
  5. エージェントレス型ウイルス対策のアーキテクチャ(1)

 

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(1)

Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策

 

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。今回からVMware様のJapan Cloud Infrastructure Blogの場をお借りして、VMware vSphere、NSX、Horizonを利用した環境でのTrend Micro Deep Securityの活用方法や連携について掲載をさせていただくことになりました。いかにセキュリティを担保していくのか?そのテクノロジーにはどういったものがあるのか?という点を中心にお伝えしていければと思います。

初回となる今回は、最近よく質問をいただくご質問にお答えしたいと思います。
「VMware vSphere/NSX+VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合、Deep Securityのエージェントレス型セキュリティ対策は使えないの?
Deep Securityはインスタントクローン方式では使えない?といったことをお聞きになっていた方もいらっしゃると思います。実際にインスタントクローン環境でDeep Securityを利用するという場合には制約事項があります!といったお話をしていました・・・

ところが!Deep Securityの新しいバージョンをご利用いただくとインスタントクローン方式で展開した仮想デスクトップ環境でもDeep Securityによるエージェントレス型セキュリティ対策がご利用いただけるようになりました。
みなさんにとってご理解しづらかった点を含めて、今回は紐解いていきたいと思います。

 

Deep Securityがエージェントレスでセキュリティ保護できる仕組み

まず、Deep Securityがエージェントレスで仮想デスクトップ(仮想マシン)を保護できるプロセスをおさらいしておきましょう。このプロセス、連携の仕組みを理解頂くことで全体像をご理解いただくことができると思います。

Deep Securityでエージェントレス型セキュリティ対策(ここでは不正プログラム対策を利用することを前提で記載していきます)を利用するためには以下の環境が必要となります。

  • VMware ESXi/vCenter
  • VMware NSX (NSX Manager / Guest Introspection)
  • Deep Security Manager(DSM)
  • Trend Micro Deep Security Virtual Appliance(DSVA)
  • VMware Tools(保護対象仮想マシンに導入)

そして、構成上重要になってくるのが、管理マネージャ群の連携です。vCenterとNSX Managerは1:1でコネクションを張ります。そして、DSVAを管理するDeep Security Manager(DSM)もvCenter、NSX Managerそれぞれとリアルタイムに同期を行うためのコネクションを張っています。

 

このvCenter – NSX Manager – DSMの連携によって、仮想マシンがどのESXiホスト上にいるのか、NSXのどういったセキュリティポリシーを適用するのかをといった情報をやりとりが可能となっています。仮想デスクトップ環境では、仮想デスクトップが生成されてからDeep Securityによってセキュリティ保護が完了するまでに以下のようなプロセスが発生します。

 

Horizon Connection Serverが仮想マシンの生成をトリガー

vCenterがそのリクエストに応じてマスターイメージから仮想デスクトップ(子仮想マシン)を生成

DSMがvCenterから新たに生成された仮想デスクトップの情報(仮想マシンの属性情報、配置されたESXiホストの情報など)を元にセキュリティポリシーを適用

 

ここで押さえておいていただきたいポイントは、Deep SecurityはあくまでvCenterから情報を取得しており、Horizon Connection Serverとは直接連携していない、という点です。言い換えると、Deep SecurityはvSphere/NSXとの連携が前提となっているため、Horizonの展開方式には依存せず、対応は可能な仕様になっているということです。(PowerShellやHorizon以外での仮想デスクトップの展開でもDSVAの利用が可能)。

 

インスタントクローンを利用する上で抑えておくべきポイント

今までDeep Securityをインスタントクローン方式の環境では導入を推奨できなかったのは、Deep Securityが「インスタントクローンに対応していなかった」のではなく、「インスタントクローンで生成される仮想マシンのスピードに追いつくことができなかった」というのが正確な表現になると思います。

インスタントクローン方式で同時に生成される台数がそれほど多くなければ問題はありませんでしたが、検証によって数百台単位で仮想デスクトップが「高速に」生成されることになった場合にDeep Securityのセキュリティの有効化処理が追いつかないケースが確認されたため、推奨しないというメッセージを出しておりました。(実際の環境では、Horizon Connection ServerからvCenterに対して同時に仮想マシンを生成できる上限がデフォルトでは制限されておりますので、100台単位で有効化処理が走ることは少ないと思いますが。)
このような背景がありましたが、今回、Deep Securityの新しいビルドで有効化処理がより効率的に処理ができることを確認できました。また、それに加えてチューニングやサイジングの見直しを頂くことで対応することも可能ですので、その方法を以下にご案内します。

 

【利用頂くことを推奨するDeep Securityのバージョン】

  • インスタントクローン方式を採用する環境では、Deep Security 10.0 Update5以降をご利用ください。

【サイジング・チューニングのポイント】

  • DSMに対するvCPUの割り当てを追加する(ジョブはCPU処理能力に依存)
    • DSMサーバに対するvCPUの追加
    • DSMサーバの増設(Multi DSM構成)
  • CPU処理能力を向上させるためのパフォーマンスプロファイルの変更
    • ジョブ処理を行える上限設定を明示的に引き上げるプロファイルをご用意しています。
      パフォーマンスプロファイルについては以下をご参照ください。
      https://help.deepsecurity.trendmicro.com/ja-jp/Reference/ref-performance.html?Highlight=パフォーマンスプロファイル
      CPU処理能力を向上させるためのパフォーマンスプロファイルは以下のFAQからダウンロードが可能です。
      http://esupport.trendmicro.com/solution/ja-JP/1119051.aspx
      ※パフォーマンスプロファイルについては、ソフトウェアの健全な動作担保のため、パフォーマンスプロファイル内のパラメータをお客様にて変更いただくことはお控えください。

 

まとめ

Deep Security 10.0 Update5以降をご利用いただくことによって、VMware vSphere/NSX+VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合にDeep Securityのエージェントレス型セキュリティ対策が安定してご利用いただけるようになりました。もちろん、引き続きフルクローン、リンククローン環境でのご利用も可能ですので、ぜひご活用ください。

 

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

  1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
  2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
  3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
  4. VMware NSX と Deep Securityのユースケースと実現できることとは?
  5. エージェントレス型ウイルス対策のアーキテクチャ(1)

 

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(0)

こんにちは。VMware でパートナー様を担当させて頂いております SE の北村です。

昨年の2月から前回まで、「ちょっとした技術的な TIPs のご紹介」 という事で、Cloud Infrastructure Blog や End User Computing Blog にブログを投稿させて頂きましたが、今回からは今までと少し趣向を替えながら、みなさまのお役に立てる情報をお伝えしていきたいと思いますのでよろしくお願いします。

 

現在 (2018年2月8日)、Horizon は 7.4 というバージョンが提供されていますが、約 1年前の 2017年3月16日にリリースされた Horizon 7.1 から提供している JMP (Just-in-time Management Platform:「ジャンプ」 と読みます) という機能ご存知でしょうか?

参考情報:プレス リリース
ヴイエムウェア、新たなアプリケーションとデスクトップ仮想化製品により、デジタル ワークスペースの変革を加速

 

JMP テクノロジーは、Horizon 7 Enterprise Edition の機能を使い、パーソナライズされたデスクトップとアプリケーションを、柔軟、かつ、高速に提供する仕組みになりますが、その JMP は次のVMware テクノロジーで構成されています。

VMware Instant Clone:迅速なデスクトップおよび RDSH プロビジョニング
Instant Clone 機能は、vSphere vmFork テクノロジー (vSpehre には 6.0 Update 1 から実装) を活用して、実行中の親仮想マシンの静止、高速メモリ内クローニング、コピーオンライト (Copy-On-Write:書き換え時にコピーする方式) を使用して、仮想マシン (仮想デスクトップ、または、RDSH サーバ) を迅速に展開します。

VMware App Volume:リアルタイムでのアプリケーションの配信
App Volumes は、アプリケーションをオペレーティング システム (OS) から切り離し、仮想マシンに配信することで、アプリケーションのプロビジョニング工数を大幅に削減し、App Volumes Manager による一元的な管理を実現します。

VMware User Environment Manager:ユーザー、プロファイル、ポリシーの管理
Horizon のスマートポリシー機能を実現するために必須のコンポーネントでもあり、仮想/物理環境、および、クラウド ベースの Windows デスクトップ環境全体にパーソナライゼーションと動的なポリシー設定を提供します。

これらのテクノロジーを活用する事で、パーソナライズされたデスクトップやアプリケーションを高速に展開する仕組みとして期待されています。

 

ここで、セキュリティについて考えたいと思いますが、Horizon の仮想デスクトップのセキュリティ向上を考えた場合、VMware NSX for vSphere と、セキュリティ ソフトウェア ベンダー様のアンチウィルス ソフトウェア製品との連携ソリューションであるマイクロセグメンテーションがあります。

今まで、Horizon の Composer を使用して展開された仮想デスクトップのセキュリティの向上には、マイクロセグメンテーションを利用していたと思います。この形態は今後も引き続き利用されていくと思いますが、更に、JMP テクノロジーの構成要素の 1つである Instant Clone を使用した、柔軟、かつ、高速に展開された仮想デスクトップや RDSH サーバのセキュリティ向上にもマイクロセグメンテーションを利用していく事が考えられます。

 

そこで、次回 (来週を予定) からトレンドマイクロ株式会社の栃沢様に、【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】 というタイトルで数回にわたりブログを掲載頂きます。

最初となる次回は、「Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策」 というテーマでブログを掲載頂きますので、お楽しみに!

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

  1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
  2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
  3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
  4. VMware NSX と Deep Securityのユースケースと実現できることとは?
  5. エージェントレス型ウイルス対策のアーキテクチャ(1)

 

以上です。

 

ちょっとした技術的な TIPs のご紹介 (2017.12)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いております SE の北村です。
今回は、Cloud Infrastructure Blog に次の 3点について投稿したいと思います。

 

1. NSX Recommended Configuration Maximums (NSX 推奨構成の上限)
2. 3種類の新しい VMware NSX の本を発表!
3. VM Encryption と vSAN Encryption がサポートする KMS (Key Management Server) について

では、それぞれについて記載していきます。

 

1. NSX Recommended Configuration Maximums (NSX 推奨構成の上限)

vSphere では以前から公開されている “構成の上限 (Configuration Maximums)” ですが (こちら。PDF版はこちら)、NSX 6.3.3 から NSX Recommended Configuration Maximums という事で、PDF版が公開されました (こちら )。

以下に「1 Introduction」の内容を意訳してみました。ご参考まで。

1 イントロダクション
このドキュメントでは、NSX for vSphere の推奨構成の上限 (最大値) を示しています。 この文書を使用して製品の設計、導入、操作する場合は、次の点を考慮してください。

  • 仮想および物理機器を選択して構成する場合は、このマニュアルで説明するように、NSX for vSphere でサポートされている上限以下に留めることを強くお勧めします。
  • 次のセクションで示される制限は、テスト済みの推奨限度を表し、VMware が完全にサポートしています。
  • このガイドに記載されている制限は、NSX for vSphere に適用されます。 この制限は、ハードウェアの依存関係などの他の要因の影響を受ける可能性があります。 サポートされるハードウェアの詳細については、適切な NSX for vSphere のインストールおよび管理ガイドを参照してください。 ご使用の環境でサポートされている構成を超えないように、個々のソリューションの制限を調べてください。
  • 全ての構成設定を最大化しても、望んでいる結果を期待する事は出来ないかもしれません。
  • 推奨構成の上限は、NSX for vSphere の規模の理論上の可能性を表すものではありません。

 

2. 3種類の新しい VMware NSX の本を発表!

お伝えそびれていた情報になりますが、今年の VMworld U.S. 2017 に合わせて、次の 3種類 (4つ) の NSX 本 (英語の本です) を発表してまして、こちらのサイトから PDF 版を入手できます。ご興味がある方は、是非、ダウンロードしてください。

 

3. VM Encryption と vSAN Encryption がサポートする KMS (Key Management Server) について

vSphere 6.5 では、仮想マシンや仮想ディスクの暗号化機能 (詳細はこちら) が提供されていますし、vSAN 6.6 でも vSAN データストア内の全てを暗号化する機能 (詳細はこちら) が提供されています。

今回は、個々の機能説明はしませんので、詳細はそれぞれリンクされているドキュメントを参照してください。

今回お伝えしたいのは、それら新しい機能として提供されている暗号化ですが、VM Encryption も vSAN Encryption、いずれの機能も外部 KMS が必要です。では、これらの機能がサポートしている KMS をご存知でしょうか? 実は上記でリンクしたドキュメント内にはサポートする KMS についての詳細は記載されていません。それらは、HCLで公開されていて、以下からアクセスできます。

1) HCL <https://www.vmware.com/go/hcl> にアクセス

2) 検索カテゴリのプルダウンメニューから “Key Management Server (KMS)” を選択

3) VM Encryption、vSAN Encryption (vSAN Data at Rest Encryption) でサポートされている KMS 製品を確認

 

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

 

 

シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです!!

シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです!! ~導入構成編~

 

#第1回 シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです!!
~導入構成編~

 

#第2回 シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです!!
~電力消費量計算編~

 

#第3回 シュナイダー ( APC ) UPS と VMware vSAN はシャットダウン連携ができるんです!!
~2 Node vSAN 対応とよくある QA編~

 

◆はじめに

 

はじめして! シュナイダー エレクトリック APC UPS 管理製品担当 出口 (右) & 冨田 (左) です。

最近 IT業界全体で注目度の高い ハイパーコンバージドインフラ ( 略して HCI ) の代表的な製品 VMware vSAN と弊社 UPS 管理製品 PowerChute がシャットダウン連携できるようになりました。

 

vSAN を導入することで運用負荷やコストを下げられるというメリットを感じて導入を検討される方も多いとは思いますが、やはり 電源障害や停電対応にも対応した UPS がないと不安で導入できないという方もいらっしゃると思います。

 

ご安心ください!!既に連携ができます!! 

 

今回のブログでは、どのような構成がサポートされて、どのような仕組みで VMware vSAN & シュナイダー ( APC ) UPS 連携ができるのかをご紹介いたします!!

 

1.UPS と vSAN のシャットダウン連携のサポート構成

APC UPS では 以下に挙げる構成パターンで vSAN との連携が可能です。

 

[パターン1]

物理 Windows サーバー にPowerChute Network Shutdown ( 略 PCNS )と、Windows 版 vCenter Server をインストールするパターン

この構成は、Windows 版 vCenter Server に PCNS や他の管理系ソフトウェア(バックアップ、監視など)を同居させる場合にピッタリの構成パターンとなっています。

 

[パターン2]

vSAN クラスタ上に vCenter Server Virtual Appliance ( 略 VCSA ) をデプロイして、PCNS は物理 Windows サーバー にインストールするパターン

 

この構成では VCSA を vSAN クラスタ上に構成するシンプルなパターンで、Dell EMC 社 の VxRail に代表される vSAN を基盤とした HCI アプライアンスを導入される方にピッタリの構成パターンとなっています。

 

[パターン3]

vSAN クラスタとは異なる ESXi サーバー上に VCSA をデプロイして、PCNS は物理 Windows サーバー にインストールするパターン

 

この構成では VCSA を vSAN クラスタ上に配置しないで構成します。vCenter Server のような管理系のサーバーを vSAN クラスタとは異なる環境で構成したい方や、複数のシステムをやクラスタを vCenter Serverで統合管理されている方にピッタリの構成パターンとなっています。

 

これだけのパターンが網羅されていればどんな環境でも安心して vSAN を導入できますね (^^♪

2.vSAN 連携させるために必要なもの

各パターンごとにおける 必要なコンポーネントと機器サンプルは以下の通りです。
詳細な電源容量の計算などは次回のブログでご紹介します!!

[構成パターン1および2で必要なコンポーネント]

Smart-UPS 1500 RM 2U LCD (SMT1500RMJ2U)   ・・・・・・・・・・・・ 1

Network Management Card (AP9630J)    ・・・・・・・・・・・・・・・・ 1

Powerchute Network Shutdown for Virtualization (SSPCNSV1J)   ・・・・・  4

 

[構成パターン3で必要なコンポーネント]

Smart-UPS X 3000 Rack/Tower LCD (SMX3000RMJ2U) ・・・・・・・・・  1

Network Management Card (AP9630J) ・・・・・・・・・・・・・・・・  1

Powerchute Network Shutdown for Virtualization (SSPCNSV1J) ・・・・・  5

 

3.vSAN 連携時のシャットダウンシーケンス

シャットダウン時の流れは以下の様になります。

 

4.参考リンク

すでに vSAN を導入されている方も、これから導入を考えている方もぜひ、電源管理は シュナイダー UPS にお任せください!!

次回のブログでは「電源容量と耐久時間」や「製品の選び方のポイント」についてご紹介いたします。

では次回を乞うご期待ください!!

 

[vSAN & シュナイダー UPS 連携のKB (シュナイダー社リンクへ飛びます)]

PowerChute Network Shutdown の vSAN対応について

アプリケーションノート:PowerChute Network Shutdown for VMware

エンタープライズ クラスのKubernetes導入を実現するPivotal Container Service(PKS)

著者:製品ライン シニア マネージャ ナラヤン・マンダレーカ(Narayan Mandaleeka)/製品管理担当副社長 ポール・ダル(Paul Dul

米国時間2017年12月7日に公開されたブログ記事の抄訳です。

https://blog.cloud.vmware.com/s/content/a1y6A000000aG0KQAU/deploy-enterprisegrade-kubernetes-with-vmware-pivotal-container-service-pks

 

VMwareとPivotalは、エンタープライズ クラスのKubernetesソリューションを求める顧客向けに、12月中旬にPivotal Container Service(PKS)の提供を開始します。PKSはKubernetesの活用を望む企業やサービス プロバイダ向けの製品で、Kubernetesクラスタの導入や運用を大幅に簡素化します。PKSはVMware vSphere®で稼動するデータセンタやGoogle Cloud Platform(GCP)に導入可能で、最近ではCloud Native Computing Foundationが主催するKubernetes Software Conformance Certificationプログラムの認証を取得しました。

PKSの主な特長は以下の通りです。

  • 最新のオープンソース版Kubernetesに対応:PKSの初版リリースではKubernetes 1.8をベースにしており、開発者は独自の拡張設定を行わずにKubernetes APIにフル アクセス可能
  • 高度なコンテナ向けネットワークとセキュリティ:マイクロセグメンテーション、負荷分散、セキュリティ ポリシーなどの機能を備えたNSX-Tにより、Pod単位のコンテナ向けネットワークを実現
  • 安全性に優れたコンテナ レジストリ:脆弱性スキャンに加え、イメージへの署名や監査といった機能によりコンテナ ワークロードを保護
  • 迅速なプロビジョニング:開発者が迅速かつオンデマンドでKubernetesクラスタを作成可能
  • 高可用性:PKSが高可用性を備えており、インフラからアプリケーションまでのKubernetesクラスタを監視/管理することで高可用性を実現
  • GCPサービスを利用可能:GCPサービス ブローカーとの連携により、開発者はGCPサービスに簡単にアクセス可能
  • パーシステント ストレージ:ステートレス/ステートフルなアプリケーションの両方をKubernetesクラスタに導入可能

図 1: Pivotal Container Service

 

ネイティブなKubernetes APIを使用したマルチクラウド環境向けに開発されたPKSは、Google Kubernetes Engine(GKE)との互換性を維持しながら主要なKubernetesリリースをベースに開発されているため、開発者は最新かつ安定性に優れたKubernetesリリースを利用可能です。PKSは導入初日から運用開始までの課題をCloud Foundry Container Runtime(CFCR)を活用することで解決できます。このCFCRは、以前はKubernetesの運用支援ツールBOSH(またはKubo)として知られていたものです。BOSHにより、PKSは自動化やオーケストレーションの機能を活用してKubernetesクラスタの導入を簡素化できるだけでなく、高可用性と本番環境での導入に向けて、基盤となるインフラのヘルスチェックと自己修復などの機能を提供します。

 

BOSHを活用してKubernetesクラスタに必要なネットワーク設定全体を自動化することで、パフォーマンスの問題や、さらにはセキュリティ ホールの発生など、マニュアル設定により発生するエラーのリスクを排除できます。

 

NSX-Tを使用したネットワーク

PKSにはVMware NSX-Tが含まれており、Kubernetesクラスタのための高度なコンテナ ネットワークやセキュリティの機能を備えています。NSX-Tは、レイヤ2からレイヤ7までの、コンテナ/Pod単位のネットワークに必要とされる完全なネットワーク サービス群を提供します。これにより、企業は開発サイクルを中断することなく、マイクロセグメンテーションやオンデマンドのネットワーク仮想化によって素早くネットワークを導入できます。

 

またPKSにより、IT部門はCNCF認証のフルスタックのKubernetesコンテナ サービスを提供可能になります。このサービスにはネットワークやストレージのサービス、安全性に優れたコンテナ レジストリ、そしてサービス ブローカー機能などが含まれます。さらに、VMware vSAN™、VMware vRealize® Operations™、Wavefront® by VMwareをはじめとするVMwareのインフラ製品や管理製品とのカスタム統合も可能です。

PKSはライセンス付与、本番環境対応、VMware NSX-Tとの緊密な連携も可能です。

Pod単位のネットワーク、サービスへのアクセス、複数のレプリカの負荷分散など、NSX-TはKubernetesに必要なあらゆるネットワーク機能を提供します。Kubernetesの基本的なネットワーク機能に加えて、NSX-Tの多層ルーティング モデルを使用することで、ネットワーク セキュリティ ポリシーやテナント レベルでのアイソレーションなどの高度なネットワーク機能を実現します。

NSX-TをPKSと統合する際の重要な設計コンセプトの1つが、Kubernetesの各ネームスペースに固有の論理スイッチを割り当てることです。これによってKubernetesクラスタの各ネームスペースのトラフィックをセグメント化できるようになります。開発チームは、共有クラスタ内で専用Kubernetesネームスペースを使用して、他のチームからワークロードを確保できます。

図 2: NSX-Tはネットワークのアイソレーションと負荷分散機能を備えたPodネットワークを提供

安全なコンテナ レジストリ — Harbor

Harbor は、コンテナ イメージを格納/配布するオープン ソースのエンタープライズ クラスのレジストリ サーバです。本番環境の認証とロール(役割)ベースのアクセスにより、プッシュおよびプル イメージを提供します。また、統合的な脆弱性スキャン、イメージ信頼サービス、イメージ レプリケーション サービスなどの主要なレジストリ サービスも提供します。

 

Harborを利用することで、アプリケーション導入のためのコンテナ イメージを安全にKubernetesクラスタにダウンロードできます。HarborのレジストリはCI/CDパイプラインで本番環境レベルのイメージ リポジトリを可能にします。顧客は、アプリケーション リリースの自動化プロセスの一環として、コンテナ イメージを安全にHarborに取り込めます。これらのイメージに対し、アプリケーションのワークロード導入プロセスの一環としてHarborが脆弱性スキャンを実行し、署名承認を行った後にKubernetesクラスタに取り込むことが許可されます。

 

その結果、開発チームはアプリケーションをプラットフォームに迅速に導入し、IT部門は企業のセキュリティ要件を確実に満たすようにコンテナ イメージをコントロールできます。

図 3: Harborは、PKSが管理するKubernetesクラスタにイメージを導入するために使用される

Harborの統合コンテナ レジストリの使用を推奨しますが、PKSはそれ以外のコンテナ レジストリも使用可能です。

パーシステント ストレージとvSphere Cloud Providerプラグイン

PKSなら、Kubernetesクラスタをステートレス/ステートフルのどちらのアプリケーションでも展開可能です。Project Hatchwayを通じて、KubernetesではVMware vSphere Storage for Kubernetesプラグインをサポートしているため、PKSはVMware vSphereストレージ上でKubernetesストレージ プリミティブに対応しています。ストレージ プリミティブには、ボリューム、パーシステント ボリューム、パーシステント ボリューム クレーム、ストレージ クラス、ステートフル セットが含まれます。また、ストレージ プラグインはエンタープライズ クラスのストレージ機能も備えています。例えば、VMware vSANを使用することで、Kubernetesクラスタで実行しているアプリケーションに対して、ストレージのポリシー ベースの管理を拡張できます。

 

GCPサービス ブローカー

PKSには、GCPサービスにすぐにアクセス可能なサービス ブローカーが含まれています。サービス ブローカーを活用することで、運用者は選択したGCPサービスを公開し、開発チームがkubectl CLIまたはAPIで「サービス インスタンス」を作成および管理することで、GCPサービスをプロビジョニングして使用できるようになります。GCPサービス ブローカーは、Google Cloud Storage、Google BigQuery、Google StackdriverなどのGCPサブスクリプション サービスにも対応しています。これらのサービスは、オンプレミスまたはGCP内で実行しているアプリケーションで使用することも可能です。

 

PKSのサポート

PKSのユーザは本番環境レベルのサポートを受けることができます。PivotalとVMwareは、世界レベルのグローバル サポート サービスの提供を通じて、最も要求の厳しい本番環境のニーズに応えます。

注:PKSの利用にはVMware vSphere 6.5が必要です。

 

Pivotal Container ServicePKS)に関する詳細情報(英語)

Pivotal Container Serviceに関する詳細は、以下をご覧ください。

https://cloud.vmware.com/pivotal-container-service

 

NSX-T 2.1リリースに関する詳細は、以下をご覧ご確認ください。

http://blogs.vmware.com/networkvirtualization/2017/11/nsx-t-2-1.html/

 

Pivotal Cloud Foundry 2.0に関する詳細は、以下をご覧ご確認ください。

https://content.pivotal.io/announcements/pivotal-unveils-expansion-of-pivotal-cloud-foundry-and-announces-serverless-computing-product