Home > Blogs > Japan Cloud Infrastructure Blog > 月別アーカイブ: 2018年2月

月別アーカイブ: 2018年2月

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(2)

VMware NSX + Deep Secuirty 連携によるエージェントレスセキュリティとは?

 

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。

前回は最近よくお問い合わせを頂いていたVMware vSphere/NSX+VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合にDeep Securityがどのように対応ができるのか?ということを解説しました。
ただ、そもそもDeep SecurityとVMwareソリューションってどのように連携するの?それってどんなことがうれしいの?実際にどういった仕組みで連携しているの?といった点をご存じない方も多くいらっしゃると思います。また実際に設計、構築、運用をされるパートナー様、ご利用いただいているユーザ様にも改めてその魅力や仕組みを知って頂きたいと思っています。
そこで、今後何回かに分けて、そのメリットや仕組みについてお伝えをしてきたいと思います。

今回はまずDeep Securityにより解決できる課題とその特徴、VMware NSXと連携によるメリットを概観していきたいと思います。

 

システム管理者が抱えるインフラ管理におけるセキュリティ課題

仮想化技術の向上により、今や企業、公共団体など幅広い業種においては、サーバ仮想化はいまや当たり前のものとなっています。クラウドサービスの急激な浸透の背景にも仮想化技術を生かしたインフラが大きく貢献をしています。当然のことながら私たちも含めたエンジニアにとっても仮想化技術はもはや「基礎技術」といっても過言ではなくなっており、今はストレージ、ネットワークの仮想化やコンテナなどの採用が進みつつあります。そのような中で現在のインフラ管理を担当するシステム管理者が抱えている課題としては以下のようなものが挙げられると思います。

  • サーバの集約率をあげた場合にアプリケーション、ユーザの業務パフォーマンスに影響を与える可能性がある(ウイルス検索の負荷など)
  • 最新のセキュリティアップデート、パターンファイルの適用確認作業といった管理が煩雑
  • サーバリソースの有効活用は可能となったが、それに伴うネットワークリソースの最適化、セキュリティポリシーの追随ができていない(それぞれの運用を個別に行う必要がある)
  • パブリッククラウドを含めたマルチクラウドを意識した統一したセキュリティ運用の仕組みが考慮されていない(オンプレミス環境とクラウド環境を分けて考える)

こういった課題は単にセキュリティをどのように担保するかということに留まらず、インフラ全体の運用を見据えて解決をしていく必要があります。

 

Deep Securityが採用される理由

Deep Securityは、OSにセキュリティソフトウェアとして導入するDeep Security Agent(DSA)とVMware vSphere/NSXと連携するDSVAの2つの防御コンポーネントを利用してサーバ保護から仮想デスクトップ保護までを一元的に提供することが可能なソリューションです。Deep Securityは上記のようなインフラシステムにおける課題を解決できるセキュリティパッケージとして幅広いお客様にて利用をいただいており、採用されている理由としては以下のようなことが挙げられます。

  • エージェント型、エージェントレス型の防御コンポーネントを利用することにより、システム環境に応じて仮想マシンのリソースに影響を最小限にとどめつつ、仮想サーバのセキュリティを担保できる
  • システムに応じた適切なセキュリティポリシーの適用と、最新のセキュリティアップデート、パターンファイルの適用を仮想マシン単位で統合管理ができる
  • さまざまなインフラ環境と連携することによりサーバ、ネットワーク環境の変化に自動的に追随してセキュリティ対策を継続できる
  • オンプレミス、クラウドに限らず、マルチクラウド環境で統一したセキュリティ運用が実現可能

昨今のITシステムにおいて「セキュリティ」を考えない、ということはもはや難しい状況となっている中で、さまざまなセキュリティ課題に対してDeep Securityを有効活用いただくことで解決の道筋をつけていただいています。

また、特徴的なのはVMware vSphere環境においてDeep Securityを利用する場合は、VMware NSXとの連携により仮想マシンにエージェント型ソフトウェアを導入する必要のないエージェントレス型によるセキュリティ実装も選択可能なことです。ここ数年、仮想デスクトップ(VDI)を採用される企業、公共団体なども増加してきており、特にこの領域ではDeep Security Virtual Appliance(DSVA)によるエージェントレスセキュリティが多く採用されています。

では、Deep SecurityとVMware vSphere/NSXの連携によるメリットはどのようなところにあるのでしょうか?

 

Deep SecurityとVMware vSphere/NSX連携のメリット

Deep SecurityとVMware vSphere/NSXの連携のメリットは大きく3つ上げられます。

  1. 仮想マシンにエージェントを導入することなく、セキュリティ対策が提供できる(エージェントレス型セキュリティ)
  2. VMware NSXセキュリティポリシーとDeep Securityポリシーの連携(インフラシステムと連動したセキュリティ運用の統一)
  3. Deep SecurityイベントをトリガーとしたNSX分散ファイアウォールによる仮想マシンの自動隔離(セキュリティインシデント発生時の一次対処の自動化)

それぞれのメリットを簡単に見ていきましょう。

 

1) エージェントレス型セキュリティ

エージェンレスでのセキュリティ実装を行う場合には、各ESXiホストに対して1台のセキュリティ専用アプライアンスとしてDeep Security Virtual Appliance(DSVA)を配置します。
DSVAは、VMware vSphere/NSX及び仮想マシン側に導入するVMware Toolsと連携をします。(詳細については次回以降解説していきます。)

エージェントレス型セキュリティ対策を導入することによって、以下のような効果を期待することができます。

  1. 仮想デスクトップ環境の統一的なセキュリティの確保(DSVAにて仮想マシン毎のセキュリティポリシーを管理)
  2. セキュリティチェックの簡素化と運用負荷の軽減(最新のセキュリティアップデート、パターンファイルはDSVAにのみ配信)
  3. セキュリティ機能の負荷をDSVA(=セキュリティ専用アプライアンス)に集約させることによる仮想デスクトップの集約率向上とそれに伴うコスト削減
  4. セキュリティ機能を仮想デスクトップから切り離すことによるユーザ利便性の向上とアプリケーションへの影響の提言(セキュリティ機能を意識せずに業務を実施可能)

特に昨今の仮想デスクトップ環境では、仮想マシンの展開にフルクローン、リンククローン、そしてインスタントクローン方式などニーズに応じてさまざまな方式が採用されるようになりました。動的に仮想マシンが生成されるケースも多いため、パターンファイルやルールを保持するソフトウェアエージェントを導入する必要のないDSVAによるエージェントレス型セキュリティ対策は、マスターイメージの維持、運用などの負担を減らすことができ、セキュリティ面のみならず日々の運用の観点からもメリットのあるソリューションとなっています。

 

2) インフラシステムと連動したセキュリティ運用の統一

Deep Securityを管理するDeep Security Manager(DSM)は、vSphere環境を管理するvCenter、NSXサービスを管理するNSX Managerと連携をすることができます。DSMはESXiホスト、仮想マシンの情報をリアルタイムで同期するとともに、vCenter Server/NSX Managerに対してDeep Securityが保持しているポリシー情報を提供しており、仮想マシンの生成、削除、DRS/vMotionによるホスト間の移動などの仮想インフラ側の変化に対しても予め設定されたDeep Securityのポリシーをシームレスに適用していくことが可能となっています。仮想マシンの状態に応じてセキュリティポリシーを自動的に適用できることにより、インフラ運用とセキュリティ運用の統合を実現できます。

 

3) セキュリティインシデント発生時の一次対処の自動化

DSMにてある仮想マシンでセキュリティイベントが検出された際にNSXセキュリティタグを付与するオプションを設定しておくことにより、Deep Securityのイベントをトリガーとして該当する仮想マシンの属性(所属するセキュリティグループ)であるセキュリティタグによって変更することによって、適用されるファイアウォールポリシーを変更することが可能となります。(詳細の動作仕様については次回以降解説していきます。)

 

Deep SecurityとVMware vSphere/NSX連携を利用するには

DSVAによるエージェントレスでのセキュリティ機能を利用する場合には、VMware NSXのコンポーネントと連携をする必要があることはすでにお話をしました。NSXのライセンスによってDSVAで提供することができるセキュリティ機能が異なりますので、押さえておいていただければと思います。

上記の表は、縦軸にNSXライセンス、横軸にDeep Securityの機能を記載しています。
※コンバインモードについては別途このブログの中でも触れる機会を設ける予定です。概要についてはFAQをご参照ください。

ここで抑えておいていただきたいポイントをいくつか挙げておきます。

  • NSX for vShield Endpointは、NSXライセンスをアクティベートすることなくNSX Managerをデプロイする形態となるため、NSXライセンスがなくてもDSVAによる不正プログラム対策だけであれば提供可能(ポリシー連携などの機能は使えないが、Deep Securityのイベントベースタスクを利用することで代替可能)
  • DAVAによるWebレピューテション、侵入防御、ファイアウォールを利用したい場合は、NSX Advanced 以上のライセンスが必要
  • vCloud Network and Security(vCNS/vShield Endpoint)を利用しているお客様もこちらに移行することが可能
  • DSVAによるエージェントレス型セキュリティ対策は、VMware vSphere /NSX環境であれば、どのような仮想デスクトップの展開方式でも利用可能

 

まとめ

VMware vSphere/NSX とDeep Securityを組み合わせることによって、仮想インフラのメリットを損なわずセキュリティを担保していくことが可能となり、運用性を高めていくことが可能であることをご理解いただけたのではないかと思います。また、エージェントレス型セキュリティの採用により、セキュリティ機能によるユーザ作業、アプリケーションのパフォーマンス影響を避けることができることも可能となります。

次回以降、VMware vSphere/NSX+Deep Security連携ソリューションがどのような仕組みで実現をしているのか、それをどういった形で利用できるのかなどを紹介していきたいと思います。

 

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

    1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
    2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
    3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
    4. VMware NSXとDeep Securityのユースケースと実現できることとは?
    5. エージェントレス型ウイルス対策のアーキテクチャ(1)
    6. エージェントレス型ウイルス対策のアーキテクチャ(2)
    7. エージェントレス型による侵入防御/Webレピュテーションの実装
    8. エージェント型とエージェントレス型の使い分けのポイント
    9. コンバインモードの正しい理解と知っておきたいこと
    10. エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
    11. 分散ファイアウォールと連携したマルウェア検出時の自動隔離
    12. Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス

 

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(1)

Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策

 

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。

今回からVMware様のJapan Cloud Infrastructure Blogの場をお借りして、VMware vSphere、NSX、Horizonを利用した環境でのTrend Micro Deep Securityの活用方法や連携について掲載をさせていただくことになりました。いかにセキュリティを担保していくのか?そのテクノロジーにはどういったものがあるのか?という点を中心にお伝えしていければと思います。

初回となる今回は、最近よく質問をいただくご質問にお答えしたいと思います。
「VMware vSphere/NSX+VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合、Deep Securityのエージェントレス型セキュリティ対策は使えないの?
Deep Securityはインスタントクローン方式では使えない?といったことをお聞きになっていた方もいらっしゃると思います。実際にインスタントクローン環境でDeep Securityを利用するという場合には制約事項があります!といったお話をしていました・・・

ところが!Deep Securityの新しいバージョンをご利用いただくとインスタントクローン方式で展開した仮想デスクトップ環境でもDeep Securityによるエージェントレス型セキュリティ対策がご利用いただけるようになりました。
みなさんにとってご理解しづらかった点を含めて、今回は紐解いていきたいと思います。

 

Deep Securityがエージェントレスでセキュリティ保護できる仕組み

まず、Deep Securityがエージェントレスで仮想デスクトップ(仮想マシン)を保護できるプロセスをおさらいしておきましょう。このプロセス、連携の仕組みを理解頂くことで全体像をご理解いただくことができると思います。

Deep Securityでエージェントレス型セキュリティ対策(ここでは不正プログラム対策を利用することを前提で記載していきます)を利用するためには以下の環境が必要となります。

  • VMware ESXi/vCenter
  • VMware NSX (NSX Manager / Guest Introspection)
  • Deep Security Manager(DSM)
  • Trend Micro Deep Security Virtual Appliance(DSVA)
  • VMware Tools(保護対象仮想マシンに導入)

そして、構成上重要になってくるのが、管理マネージャ群の連携です。vCenterとNSX Managerは1:1でコネクションを張ります。そして、DSVAを管理するDeep Security Manager(DSM)もvCenter、NSX Managerそれぞれとリアルタイムに同期を行うためのコネクションを張っています。

 

このvCenter – NSX Manager – DSMの連携によって、仮想マシンがどのESXiホスト上にいるのか、NSXのどういったセキュリティポリシーを適用するのかをといった情報をやりとりが可能となっています。仮想デスクトップ環境では、仮想デスクトップが生成されてからDeep Securityによってセキュリティ保護が完了するまでに以下のようなプロセスが発生します。

 

Horizon Connection Serverが仮想マシンの生成をトリガー

vCenterがそのリクエストに応じてマスターイメージから仮想デスクトップ(子仮想マシン)を生成

DSMがvCenterから新たに生成された仮想デスクトップの情報(仮想マシンの属性情報、配置されたESXiホストの情報など)を元にセキュリティポリシーを適用

 

ここで押さえておいていただきたいポイントは、Deep SecurityはあくまでvCenterから情報を取得しており、Horizon Connection Serverとは直接連携していない、という点です。言い換えると、Deep SecurityはvSphere/NSXとの連携が前提となっているため、Horizonの展開方式には依存せず、対応は可能な仕様になっているということです。(PowerShellやHorizon以外での仮想デスクトップの展開でもDSVAの利用が可能)。

 

インスタントクローンを利用する上で抑えておくべきポイント

今までDeep Securityをインスタントクローン方式の環境では導入を推奨できなかったのは、Deep Securityが「インスタントクローンに対応していなかった」のではなく、「インスタントクローンで生成される仮想マシンのスピードに追いつくことができなかった」というのが正確な表現になると思います。

インスタントクローン方式で同時に生成される台数がそれほど多くなければ問題はありませんでしたが、検証によって数百台単位で仮想デスクトップが「高速に」生成されることになった場合にDeep Securityのセキュリティの有効化処理が追いつかないケースが確認されたため、推奨しないというメッセージを出しておりました。(実際の環境では、Horizon Connection ServerからvCenterに対して同時に仮想マシンを生成できる上限がデフォルトでは制限されておりますので、100台単位で有効化処理が走ることは少ないと思いますが。)
このような背景がありましたが、今回、Deep Securityの新しいビルドで有効化処理がより効率的に処理ができることを確認できました。また、それに加えてチューニングやサイジングの見直しを頂くことで対応することも可能ですので、その方法を以下にご案内します。

 

【利用頂くことを推奨するDeep Securityのバージョン】

  • インスタントクローン方式を採用する環境では、Deep Security 10.0 Update5以降をご利用ください。

【サイジング・チューニングのポイント】

  • DSMに対するvCPUの割り当てを追加する(ジョブはCPU処理能力に依存)
    • DSMサーバに対するvCPUの追加
    • DSMサーバの増設(Multi DSM構成)
  • CPU処理能力を向上させるためのパフォーマンスプロファイルの変更
    • ジョブ処理を行える上限設定を明示的に引き上げるプロファイルをご用意しています。
      パフォーマンスプロファイルについては以下をご参照ください。
      https://help.deepsecurity.trendmicro.com/ja-jp/Reference/ref-performance.html?Highlight=パフォーマンスプロファイル
      CPU処理能力を向上させるためのパフォーマンスプロファイルは以下のFAQからダウンロードが可能です。
      http://esupport.trendmicro.com/solution/ja-JP/1119051.aspx
      ※パフォーマンスプロファイルについては、ソフトウェアの健全な動作担保のため、パフォーマンスプロファイル内のパラメータをお客様にて変更いただくことはお控えください。

 

まとめ

Deep Security 10.0 Update5以降をご利用いただくことによって、VMware vSphere/NSX+VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合にDeep Securityのエージェントレス型セキュリティ対策が安定してご利用いただけるようになりました。もちろん、引き続きフルクローン、リンククローン環境でのご利用も可能ですので、ぜひご活用ください。

 

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

    1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
    2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
    3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
    4. VMware NSXとDeep Securityのユースケースと実現できることとは?
    5. エージェントレス型ウイルス対策のアーキテクチャ(1)
    6. エージェントレス型ウイルス対策のアーキテクチャ(2)
    7. エージェントレス型による侵入防御/Webレピュテーションの実装
    8. エージェント型とエージェントレス型の使い分けのポイント
    9. コンバインモードの正しい理解と知っておきたいこと
    10. エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
    11. 分散ファイアウォールと連携したマルウェア検出時の自動隔離
    12. Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス

 

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(0)

こんにちは。VMware でパートナー様を担当させて頂いております SE の北村です。

昨年の2月から前回まで、「ちょっとした技術的な TIPs のご紹介」 という事で、Cloud Infrastructure Blog や End User Computing Blog にブログを投稿させて頂きましたが、今回からは今までと少し趣向を替えながら、みなさまのお役に立てる情報をお伝えしていきたいと思いますのでよろしくお願いします。

 

現在 (2018年2月8日)、Horizon は 7.4 というバージョンが提供されていますが、約 1年前の 2017年3月16日にリリースされた Horizon 7.1 から提供している JMP (Just-in-time Management Platform:「ジャンプ」 と読みます) という機能ご存知でしょうか?

参考情報:プレス リリース
ヴイエムウェア、新たなアプリケーションとデスクトップ仮想化製品により、デジタル ワークスペースの変革を加速

 

JMP テクノロジーは、Horizon 7 Enterprise Edition の機能を使い、パーソナライズされたデスクトップとアプリケーションを、柔軟、かつ、高速に提供する仕組みになりますが、その JMP は次のVMware テクノロジーで構成されています。

VMware Instant Clone:迅速なデスクトップおよび RDSH プロビジョニング
Instant Clone 機能は、vSphere vmFork テクノロジー (vSpehre には 6.0 Update 1 から実装) を活用して、実行中の親仮想マシンの静止、高速メモリ内クローニング、コピーオンライト (Copy-On-Write:書き換え時にコピーする方式) を使用して、仮想マシン (仮想デスクトップ、または、RDSH サーバ) を迅速に展開します。

VMware App Volume:リアルタイムでのアプリケーションの配信
App Volumes は、アプリケーションをオペレーティング システム (OS) から切り離し、仮想マシンに配信することで、アプリケーションのプロビジョニング工数を大幅に削減し、App Volumes Manager による一元的な管理を実現します。

VMware User Environment Manager:ユーザー、プロファイル、ポリシーの管理
Horizon のスマートポリシー機能を実現するために必須のコンポーネントでもあり、仮想/物理環境、および、クラウド ベースの Windows デスクトップ環境全体にパーソナライゼーションと動的なポリシー設定を提供します。

これらのテクノロジーを活用する事で、パーソナライズされたデスクトップやアプリケーションを高速に展開する仕組みとして期待されています。

 

ここで、セキュリティについて考えたいと思いますが、Horizon の仮想デスクトップのセキュリティ向上を考えた場合、VMware NSX for vSphere と、セキュリティ ソフトウェア ベンダー様のアンチウィルス ソフトウェア製品との連携ソリューションであるマイクロセグメンテーションがあります。

今まで、Horizon の Composer を使用して展開された仮想デスクトップのセキュリティの向上には、マイクロセグメンテーションを利用していたと思います。この形態は今後も引き続き利用されていくと思いますが、更に、JMP テクノロジーの構成要素の 1つである Instant Clone を使用した、柔軟、かつ、高速に展開された仮想デスクトップや RDSH サーバのセキュリティ向上にもマイクロセグメンテーションを利用していく事が考えられます。

 

そこで、次回 (来週を予定) からトレンドマイクロ株式会社の栃沢様に、【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】 というタイトルで数回にわたりブログを掲載頂きます。

最初となる次回は、「Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策」 というテーマでブログを掲載頂きますので、お楽しみに!

 

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

    1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
    2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
    3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
    4. VMware NSXとDeep Securityのユースケースと実現できることとは?
    5. エージェントレス型ウイルス対策のアーキテクチャ(1)
    6. エージェントレス型ウイルス対策のアーキテクチャ(2)
    7. エージェントレス型による侵入防御/Webレピュテーションの実装
    8. エージェント型とエージェントレス型の使い分けのポイント
    9. コンバインモードの正しい理解と知っておきたいこと
    10. エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
    11. 分散ファイアウォールと連携したマルウェア検出時の自動隔離
    12. Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス

 

以上です。