VMware NSX + Deep Secuirty 連携によるエージェントレスセキュリティとは？

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。
前回は最近よくお問い合わせを頂いていたVMware vSphere/NSX＋VMware Horizonの環境でインスタントクローン方式による仮想デスクトップの展開を行った場合にDeep Securityがどのように対応ができるのか？ということを解説しました。
ただ、そもそもDeep SecurityとVMwareソリューションってどのように連携するの？それってどんなことがうれしいの？実際にどういった仕組みで連携しているの？といった点をご存じない方も多くいらっしゃると思います。また実際に設計、構築、運用をされるパートナー様、ご利用いただいているユーザ様にも改めてその魅力や仕組みを知って頂きたいと思っています。
そこで、今後何回かに分けて、そのメリットや仕組みについてお伝えをしてきたいと思います。
今回はまずDeep Securityにより解決できる課題とその特徴、VMware NSXと連携によるメリットを概観していきたいと思います。

システム管理者が抱えるインフラ管理におけるセキュリティ課題
仮想化技術の向上により、今や企業、公共団体など幅広い業種においては、サーバ仮想化はいまや当たり前のものとなっています。クラウドサービスの急激な浸透の背景にも仮想化技術を生かしたインフラが大きく貢献をしています。当然のことながら私たちも含めたエンジニアにとっても仮想化技術はもはや「基礎技術」といっても過言ではなくなっており、今はストレージ、ネットワークの仮想化やコンテナなどの採用が進みつつあります。そのような中で現在のインフラ管理を担当するシステム管理者が抱えている課題としては以下のようなものが挙げられると思います。

• サーバの集約率をあげた場合にアプリケーション、ユーザの業務パフォーマンスに影響を与える可能性がある（ウイルス検索の負荷など）
• 最新のセキュリティアップデート、パターンファイルの適用確認作業といった管理が煩雑
• サーバリソースの有効活用は可能となったが、それに伴うネットワークリソースの最適化、セキュリティポリシーの追随ができていない（それぞれの運用を個別に行う必要がある）
• パブリッククラウドを含めたマルチクラウドを意識した統一したセキュリティ運用の仕組みが考慮されていない（オンプレミス環境とクラウド環境を分けて考える）

こういった課題は単にセキュリティをどのように担保するかということに留まらず、インフラ全体の運用を見据えて解決をしていく必要があります。

Deep Securityが採用される理由
Deep Securityは、OSにセキュリティソフトウェアとして導入するDeep Security Agent（DSA）とVMware vSphere/NSXと連携するDSVAの2つの防御コンポーネントを利用してサーバ保護から仮想デスクトップ保護までを一元的に提供することが可能なソリューションです。Deep Securityは上記のようなインフラシステムにおける課題を解決できるセキュリティパッケージとして幅広いお客様にて利用をいただいており、採用されている理由としては以下のようなことが挙げられます。

• エージェント型、エージェントレス型の防御コンポーネントを利用することにより、システム環境に応じて仮想マシンのリソースに影響を最小限にとどめつつ、仮想サーバのセキュリティを担保できる
• システムに応じた適切なセキュリティポリシーの適用と、最新のセキュリティアップデート、パターンファイルの適用を仮想マシン単位で統合管理ができる
• さまざまなインフラ環境と連携することによりサーバ、ネットワーク環境の変化に自動的に追随してセキュリティ対策を継続できる
• オンプレミス、クラウドに限らず、マルチクラウド環境で統一したセキュリティ運用が実現可能

昨今のITシステムにおいて「セキュリティ」を考えない、ということはもはや難しい状況となっている中で、さまざまなセキュリティ課題に対してDeep Securityを有効活用いただくことで解決の道筋をつけていただいています。

また、特徴的なのはVMware vSphere環境においてDeep Securityを利用する場合は、VMware NSXとの連携により仮想マシンにエージェント型ソフトウェアを導入する必要のないエージェントレス型によるセキュリティ実装も選択可能なことです。ここ数年、仮想デスクトップ（VDI）を採用される企業、公共団体なども増加してきており、特にこの領域ではDeep Security Virtual Appliance（DSVA）によるエージェントレスセキュリティが多く採用されています。
では、Deep SecurityとVMware vSphere/NSXの連携によるメリットはどのようなところにあるのでしょうか？

Deep SecurityとVMware vSphere/NSX連携のメリット
Deep SecurityとVMware vSphere/NSXの連携のメリットは大きく3つ上げられます。

1. 仮想マシンにエージェントを導入することなく、セキュリティ対策が提供できる（エージェントレス型セキュリティ）
2. VMware NSXセキュリティポリシーとDeep Securityポリシーの連携（インフラシステムと連動したセキュリティ運用の統一）
3. Deep SecurityイベントをトリガーとしたNSX分散ファイアウォールによる仮想マシンの自動隔離（セキュリティインシデント発生時の一次対処の自動化）

それぞれのメリットを簡単に見ていきましょう。

1) エージェントレス型セキュリティ
エージェンレスでのセキュリティ実装を行う場合には、各ESXiホストに対して1台のセキュリティ専用アプライアンスとしてDeep Security Virtual Appliance（DSVA）を配置します。
DSVAは、VMware vSphere/NSX及び仮想マシン側に導入するVMware Toolsと連携をします。（詳細については次回以降解説していきます。）

エージェントレス型セキュリティ対策を導入することによって、以下のような効果を期待することができます。

1. 仮想デスクトップ環境の統一的なセキュリティの確保（DSVAにて仮想マシン毎のセキュリティポリシーを管理）
2. セキュリティチェックの簡素化と運用負荷の軽減（最新のセキュリティアップデート、パターンファイルはDSVAにのみ配信）
3. セキュリティ機能の負荷をDSVA（＝セキュリティ専用アプライアンス）に集約させることによる仮想デスクトップの集約率向上とそれに伴うコスト削減
4. セキュリティ機能を仮想デスクトップから切り離すことによるユーザ利便性の向上とアプリケーションへの影響の提言（セキュリティ機能を意識せずに業務を実施可能）

特に昨今の仮想デスクトップ環境では、仮想マシンの展開にフルクローン、リンククローン、そしてインスタントクローン方式などニーズに応じてさまざまな方式が採用されるようになりました。動的に仮想マシンが生成されるケースも多いため、パターンファイルやルールを保持するソフトウェアエージェントを導入する必要のないDSVAによるエージェントレス型セキュリティ対策は、マスターイメージの維持、運用などの負担を減らすことができ、セキュリティ面のみならず日々の運用の観点からもメリットのあるソリューションとなっています。

2) インフラシステムと連動したセキュリティ運用の統一
Deep Securityを管理するDeep Security Manager（DSM）は、vSphere環境を管理するvCenter、NSXサービスを管理するNSX Managerと連携をすることができます。DSMはESXiホスト、仮想マシンの情報をリアルタイムで同期するとともに、vCenter Server/NSX Managerに対してDeep Securityが保持しているポリシー情報を提供しており、仮想マシンの生成、削除、DRS/vMotionによるホスト間の移動などの仮想インフラ側の変化に対しても予め設定されたDeep Securityのポリシーをシームレスに適用していくことが可能となっています。仮想マシンの状態に応じてセキュリティポリシーを自動的に適用できることにより、インフラ運用とセキュリティ運用の統合を実現できます。

3) セキュリティインシデント発生時の一次対処の自動化
DSMにてある仮想マシンでセキュリティイベントが検出された際にNSXセキュリティタグを付与するオプションを設定しておくことにより、Deep Securityのイベントをトリガーとして該当する仮想マシンの属性（所属するセキュリティグループ）であるセキュリティタグによって変更することによって、適用されるファイアウォールポリシーを変更することが可能となります。（詳細の動作仕様については次回以降解説していきます。）

Deep SecurityとVMware vSphere/NSX連携を利用するには
DSVAによるエージェントレスでのセキュリティ機能を利用する場合には、VMware NSXのコンポーネントと連携をする必要があることはすでにお話をしました。NSXのライセンスによってDSVAで提供することができるセキュリティ機能が異なりますので、押さえておいていただければと思います。

上記の表は、縦軸にNSXライセンス、横軸にDeep Securityの機能を記載しています。
※コンバインモードについては別途このブログの中でも触れる機会を設ける予定です。概要についてはFAQをご参照ください。
ここで抑えておいていただきたいポイントをいくつか挙げておきます。

• NSX for vShield Endpointは、NSXライセンスをアクティベートすることなくNSX Managerをデプロイする形態となるため、NSXライセンスがなくてもDSVAによる不正プログラム対策だけであれば提供可能（ポリシー連携などの機能は使えないが、Deep Securityのイベントベースタスクを利用することで代替可能）
• DAVAによるWebレピューテション、侵入防御、ファイアウォールを利用したい場合は、NSX Advanced 以上のライセンスが必要
• vCloud Network and Security(vCNS/vShield Endpoint)を利用しているお客様もこちらに移行することが可能
• DSVAによるエージェントレス型セキュリティ対策は、VMware vSphere /NSX環境であれば、どのような仮想デスクトップの展開方式でも利用可能

まとめ
VMware vSphere/NSX とDeep Securityを組み合わせることによって、仮想インフラのメリットを損なわずセキュリティを担保していくことが可能となり、運用性を高めていくことが可能であることをご理解いただけたのではないかと思います。また、エージェントレス型セキュリティの採用により、セキュリティ機能によるユーザ作業、アプリケーションのパフォーマンス影響を避けることができることも可能となります。
次回以降、VMware vSphere/NSX＋Deep Security連携ソリューションがどのような仕組みで実現をしているのか、それをどういった形で利用できるのかなどを紹介していきたいと思います。

執筆者：
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹（Tochizawa Naoki）

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

1. 1. Horizon インスタントクローンにも適用可能！仮想デスクトップ環境にフィットしたセキュリティ対策
   2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは？
   3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
   4. VMware NSXとDeep Securityのユースケースと実現できることとは？
   5. エージェントレス型ウイルス対策のアーキテクチャ（１）
   6. エージェントレス型ウイルス対策のアーキテクチャ（２）
   7. エージェントレス型による侵入防御/Webレピュテーションの実装
   8. エージェント型とエージェントレス型の使い分けのポイント
   9. コンバインモードの正しい理解と知っておきたいこと
   10. エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
   11. 分散ファイアウォールと連携したマルウェア検出時の自動隔離
   12. Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス