パートナー Horizon NSX TIPS & Information セキュリティ ネットワーク

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(1)

Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。
今回からVMware様のJapan Cloud Infrastructure Blogの場をお借りして、VMware vSphere、NSX、Horizonを利用した環境でのTrend Micro Deep Securityの活用方法や連携について掲載をさせていただくことになりました。いかにセキュリティを担保していくのか?そのテクノロジーにはどういったものがあるのか?という点を中心にお伝えしていければと思います。
初回となる今回は、最近よく質問をいただくご質問にお答えしたいと思います。
「VMware vSphere/NSX+VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合、Deep Securityのエージェントレス型セキュリティ対策は使えないの?
Deep Securityはインスタントクローン方式では使えない?といったことをお聞きになっていた方もいらっしゃると思います。実際にインスタントクローン環境でDeep Securityを利用するという場合には制約事項があります!といったお話をしていました・・・
ところが!Deep Securityの新しいバージョンをご利用いただくとインスタントクローン方式で展開した仮想デスクトップ環境でもDeep Securityによるエージェントレス型セキュリティ対策がご利用いただけるようになりました。
みなさんにとってご理解しづらかった点を含めて、今回は紐解いていきたいと思います。

Deep Securityがエージェントレスでセキュリティ保護できる仕組み
まず、Deep Securityがエージェントレスで仮想デスクトップ(仮想マシン)を保護できるプロセスをおさらいしておきましょう。このプロセス、連携の仕組みを理解頂くことで全体像をご理解いただくことができると思います。
Deep Securityでエージェントレス型セキュリティ対策(ここでは不正プログラム対策を利用することを前提で記載していきます)を利用するためには以下の環境が必要となります。

  • VMware ESXi/vCenter
  • VMware NSX (NSX Manager / Guest Introspection)
  • Deep Security Manager(DSM)
  • Trend Micro Deep Security Virtual Appliance(DSVA)
  • VMware Tools(保護対象仮想マシンに導入)

そして、構成上重要になってくるのが、管理マネージャ群の連携です。vCenterとNSX Managerは1:1でコネクションを張ります。そして、DSVAを管理するDeep Security Manager(DSM)もvCenter、NSX Managerそれぞれとリアルタイムに同期を行うためのコネクションを張っています。

このvCenter – NSX Manager – DSMの連携によって、仮想マシンがどのESXiホスト上にいるのか、NSXのどういったセキュリティポリシーを適用するのかをといった情報をやりとりが可能となっています。仮想デスクトップ環境では、仮想デスクトップが生成されてからDeep Securityによってセキュリティ保護が完了するまでに以下のようなプロセスが発生します。

Horizon Connection Serverが仮想マシンの生成をトリガー

vCenterがそのリクエストに応じてマスターイメージから仮想デスクトップ(子仮想マシン)を生成

DSMがvCenterから新たに生成された仮想デスクトップの情報(仮想マシンの属性情報、配置されたESXiホストの情報など)を元にセキュリティポリシーを適用

ここで押さえておいていただきたいポイントは、Deep SecurityはあくまでvCenterから情報を取得しており、Horizon Connection Serverとは直接連携していない、という点です。言い換えると、Deep SecurityはvSphere/NSXとの連携が前提となっているため、Horizonの展開方式には依存せず、対応は可能な仕様になっているということです。(PowerShellやHorizon以外での仮想デスクトップの展開でもDSVAの利用が可能)。

インスタントクローンを利用する上で抑えておくべきポイント
今までDeep Securityをインスタントクローン方式の環境では導入を推奨できなかったのは、Deep Securityが「インスタントクローンに対応していなかった」のではなく、「インスタントクローンで生成される仮想マシンのスピードに追いつくことができなかった」というのが正確な表現になると思います。

インスタントクローン方式で同時に生成される台数がそれほど多くなければ問題はありませんでしたが、検証によって数百台単位で仮想デスクトップが「高速に」生成されることになった場合にDeep Securityのセキュリティの有効化処理が追いつかないケースが確認されたため、推奨しないというメッセージを出しておりました。(実際の環境では、Horizon Connection ServerからvCenterに対して同時に仮想マシンを生成できる上限がデフォルトでは制限されておりますので、100台単位で有効化処理が走ることは少ないと思いますが。)
このような背景がありましたが、今回、Deep Securityの新しいビルドで有効化処理がより効率的に処理ができることを確認できました。また、それに加えてチューニングやサイジングの見直しを頂くことで対応することも可能ですので、その方法を以下にご案内します。

【利用頂くことを推奨するDeep Securityのバージョン】

  • インスタントクローン方式を採用する環境では、Deep Security 10.0 Update5以降をご利用ください。

【サイジング・チューニングのポイント】

  • DSMに対するvCPUの割り当てを追加する(ジョブはCPU処理能力に依存)
    • DSMサーバに対するvCPUの追加
    • DSMサーバの増設(Multi DSM構成)
  • CPU処理能力を向上させるためのパフォーマンスプロファイルの変更
    • ジョブ処理を行える上限設定を明示的に引き上げるプロファイルをご用意しています。
      パフォーマンスプロファイルについては以下をご参照ください。
      https://help.deepsecurity.trendmicro.com/ja-jp/Reference/ref-performance.html?Highlight=パフォーマンスプロファイル
      CPU処理能力を向上させるためのパフォーマンスプロファイルは以下のFAQからダウンロードが可能です。
      http://esupport.trendmicro.com/solution/ja-JP/1119051.aspx
      ※パフォーマンスプロファイルについては、ソフトウェアの健全な動作担保のため、パフォーマンスプロファイル内のパラメータをお客様にて変更いただくことはお控えください。

まとめ
Deep Security 10.0 Update5以降をご利用いただくことによって、VMware vSphere/NSX+VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合にDeep Securityのエージェントレス型セキュリティ対策が安定してご利用いただけるようになりました。もちろん、引き続きフルクローン、リンククローン環境でのご利用も可能ですので、ぜひご活用ください。

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

    1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
    2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
    3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
    4. VMware NSXとDeep Securityのユースケースと実現できることとは?
    5. エージェントレス型ウイルス対策のアーキテクチャ(1)
    6. エージェントレス型ウイルス対策のアーキテクチャ(2)
    7. エージェントレス型による侵入防御/Webレピュテーションの実装
    8. エージェント型とエージェントレス型の使い分けのポイント
    9. コンバインモードの正しい理解と知っておきたいこと
    10. エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
    11. 分散ファイアウォールと連携したマルウェア検出時の自動隔離
    12. Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス