vSphere

Trend Micro Deep Security と vSphere Auto Deploy で大規模環境セキュリティを楽々管理する!

【はじめに】

前回ご説明させていただいた、大規模環境のインフラ管理負荷を劇的に改善するvSphere Auto Deploy。そしてアンチウィルスのオフロードを実現し、仮想環境のリソースの最適化を実現する、Trend Micro Deep Securityこれら二つは、サーバ仮想化からデスクトップの仮想化まで、幅広く利用可能ですが、特に仮想マシンの集約率が高くかつ、ホスト台数の多くなりがちな仮想デスクトップ環境では、運用・管理面とリソースの有効活用面で大きな効果を発揮します。事実、この組み合わせで是非利用したい! というユーザーからのリクエストはしばしば頂いているのですが、実はこの組み合わせ、主にAuto Deploy側特有の、構成情報の保存・再現方法が確立していなかったため、期待通りに動作させるのがなかなか難しいという問題がありました。
今回、この状況に終止符を打つべく、VMwareとTrend Micro様で共同検証を実施、その結果、構築方法の確立に至りました!

その手法について、共同検証を実施頂きましたTrend Micro パートナービジネスSE部 姜(かん)様にBlogの執筆を頂きましたのでここに掲載させていただきます。姜様には、本Blogだけではなく、検証の内容をWhite Paperとしてまとめていただいていますので、こちらも是非ご確認ください。
【まずは、Deep Security(DS)ってどんな製品?】

物理、仮想、クラウドといった全環境に対応している、ホスト型統合セキュリティソリューションです。

セキュリティを実装していく上で必要とされる多層防御の考え方に基づき、様々なレイヤーにおいて最適な機能を提供し、全包囲網型の防御を実現致します。



【DS導入のメリット】

仮想化環境において考慮すべき下記懸念事項において特に有効です。

・アンチウィルスストーム

 -複数のVMにて同時ウィルス検索やUpdateによるシステムへの過負荷

・セキュリティの抜け・漏れ

 -最新パターンやセキュリティパッチ適用忘れ等の脆弱性の発覚

・仮想ネットワーク間の通信検疫

 -同じESXiホスト上にあるVM間での内部攻撃



【環境に合わせたモジュールの提供】

DSは環境にあわせて2種類のモジュールを用意しております。

物理やクラウド環境には従来通りのエージェント型、vSphere環境には仮想アプライアンス型(またの名をエージェントレス型)を提供しております。

今回は、「仮想アプライアンス型」 と 「Auto Deploy」 を連携させた共同検証を行っております。



【結局、Auto Deployとの連携で何がうれしいの???】

DSの紹介はこれぐらいにさせて頂き、本題である「Auto Deployと組み合わせる事で何が出来るの?」というところへ。

Auto Deployと連携することで、、、

1.ホストのデプロイメントにかかる工数を大幅に簡略化し、迅速なプロビジョニングを可能とします。

2.パッチメンテナンスにおいても、マスターとなるESXiイメージを更新するだけの一元管理が可能となり、運用工数の削減が可能となります。

例えば新規ホストの立ち上げは、

Ⅰ.作業者はサーバの電源をONにして、

Ⅱ.黄色枠部分の作業はAuto Deployにお任せ(ホストの起動のみでOK)して、

Ⅲ.仕上げに 「No4」 以降の作業を行う。

これだけです。



今回の検証の目的は、ずばり、、、

vSphere環境に最適な、DSの「仮想アプライアンス型」 とvSphereの「Auto Deploy」を組み合わせる事により

大規模環境の運用工数が大幅に削減可能であることを確認すること! そして、その方法を明らかにすること!!です。

(特にセキュリティに関する”手間”は敬遠されがちですから。。。)

【じゃあ、どうやるの?】

まず、Auto Deployと連携する事で、下記のようなESXiを複数台構築する環境においても、DSの実装がスムーズに行えるようになります。

今回はここを目標として、検証を進めていきます。

※なお、今回の検証に当たっては、潤沢な物理サーバが準備出来ませんでしたので、Auto Deploy部分は全てNested (ESXi上の仮想マシンとしてESXiを動作させる)環境で作成しており、Blog掲載の図もそちらをベースに記載させていただいています。Nested ESXi環境は今回のような検証用途として幅広く利用されていますが、正常動作はサポートされておりません。あくまで検証用途としてご利用ください。



■基本的な流れ

ここでは概要のみを説明させて頂きます。詳細な手順に関しては今回作成したWhite Paperをご参照下さい。

DSをAuto Deployと連携させるためには、6つのStepが必要となります。



■事前準備

下記、Auto Deploy環境やAuto DeployのベースとなるMaster ESXi、DS環境の構築は既に完了している事を前提としています。

Master ESXiはAuto Deployで起動するDeep Security用ESXiの構成上のベースとなるサーバです。Auto Deployで起動するESXiはこのMaster ESXi から取得したHost Profileを参照し、設定が行われます。

このため、Master ESXiには皆様の環境にあわせ、予め設定しておいてください。

例:vSwitch、Portgroup、NICチーミング、Datastore 、NTP、管理者パスワード、Syslogサーバ(Syslog.global.logHost)、ネットワークコアダンプ(ESXi Dump Collector)、ステートレスキャッシュ、ステートフル等の設定。

詳細は「Auto Deploy構築方法」を参照下さい。



※VA・・・Virtual Appliance、vSM・・・vShield Manager、DSM・・・Deep Security Manager

■Step1

Masterサーバのセットアップ①(vSEインストール及びF.Dの導入準備)



※vSE・・・vShield Endpoint

ここでは既に基本設定が完了しているMasterサーバに対して、Deep Securityの実装に必要となるvShield Endpointのインストールを実施。

FDインストールにまつわる構成変更やパラメータもあらかじめ実施の上、Host Profileを取得します。

■Step2

Auto Deployで使用するホスト起動イメージ(イメージプロファイル)の作成



※F.D・・・Trend Micro Filter Driver

ここではPowerCLIを用いて、下記VIBファイルをESXi のベースイメージに組み込みます。

・VMware vShield Endpoint

・Trend Micro Filter Driver

この組み込みにより、EndpointのインストールやF.Dのインストールを実施することなく、Auto Deployで起動するだけで上記VIBが利用可能となります。

■Step 3

Masterサーバのセットアップ②(DSVA有効化によるパラメータ変更)



※DSVA・・・Trend Micro Deep Security Virtual Appliance

Masterサーバを再起動しStep2で作成したイメージで立ち上げます。

vShield EndpointやF.Dが利用可能となっていることを確認し、、DSVAの配信及びDSVA有効化によるパラメータ変更を行います。

■Step 4

Auto DeployによるDeep Security用ESXiのデプロイメント



Step3までで、Auto Deployを実行するためのHost Profile及びDeep Security用イメージファイルの準備が完了しています!
新規ホストのセットアップは、ホストの電源をONするだけで完了です!!

■Step 5

DSVAの配信とVictimのセットアップ



※Victim・・・動作確認用仮想マシン

ここではDSMから各ESXiに対してDSVAの配信及びセットアップを行います。また動作確認として使用するVictimのセットアップ

も行います。

Victimの構築に関しては特別な要件はありませんので、Windows OSをセットアップしてください。

(テンプレートを作成して展開して頂ければと思います)

■Step 6

動作確認



あとは、Deep Securityの動作確認をすれば作業完了となります。

例:ウィルス対策、Firewall、脆弱性対策機能等。

【おまけ】

これは弊社検証環境のDeep Security管理画面ですが、このように20台近くのESXiを構築・管理するのも電源ONするだけなので

検証環境の構築にも心強い味方となります。



【まとめ】

Auto Deploy環境やMasterとなるESXiを構築するまでには、正直、多少の工数はかかります。

が、私のようなAuto Deploy初心者でも、実際に私が参照した 「Auto Deploy構築方法」等有益な情報が沢山あるので、やってみると思った程難しくはなかったです。

今回作成したWhite Paperには導入手順以外にも、Auto Deployならではの注意点、Tips集、トラブルシューティングや応用編としてアップグレード時の手順などを記載しております。

これを機に DS with Auto Deploy を利用して作業工数を削減し、節約出来た時間で他の事にトライするというのもありではないでしょうか?

最後までご一読頂き、ありがとうございました!