エージェントレス型ウイルス対策のアーキテクチャ(1)
トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。
前回まではVMware NSXとDeep Securityを組み合わせたエージェントレス型セキュリティのメリットや基本的なコンポーネントなどについてご紹介してきました。では、実際にどのようや仕組みでエージェントレス型セキュリティが実現されているのか?という疑問もあるかと思います。今回からは数回にわたってエージェントレス型セキュリティのアーキテクチャ、その際に抑えておくべきポイントなどを技術的な側面から解説していきたいと思います。
まずは、仮想デスクトップ(VDI)環境では多くご利用を頂いているエージェントレス型ウイルス対策がどのような仕組みで実現されているかを解説していきたいと思います。
エージェントレス型セキュリティ実装時のウイルス検索処理の流れ
はじめにVMware NSXとDeep Securityの連携によるエージェントレス型(仮想マシンにセキュリティソフトウェアを導入しない)でウイルス対策がどのような流れで実行されているかを確認しておきましょう。
- 仮想マシンにインストールされたGuest Introspection Driverに含まれるvsepfilt.sysがファイルのアクセス(読み取り/書き込み)を検出
- vepfilt.sysがESXiホスト上のプロセスvShield-Endpoint-MUXへアクセス情報を送信(VMCI経由)
- vShield-Endpoint-MUXからDSVAのプロセスds_amへアクセス情報を送信(TCP/IPコネクション経由)
DSVAのマルウェアスキャンエンジンのスキャンポリシー(スキャン条件、スキャンキャッシュの有無など)に従いマルウェアスキャンが必要かどうかをチェック
マルウェアスキャンが必要と判断された場合、vsepfilt.sysに対してファイル取得リクエストをレスポンス - vsepfilt.sysが該当のストレージ領域からファイルを取得
- 検索対象ファイルをvShield-Endpoint-MUX経由でDSVA(ds_am)へ送信
- マルウェアスキャンエンジンがウイルス検索を実行
- ウイルス検索イベント(検索結果・実施アクション)をvsepfilt.sysへ通知
- マルウェア判定されていた場合、vsepfilt.sysがイベントに基づき隔離、削除などのアクションを実施
エージェントレス型のウイルス検索処理おいてポイントとなるのは以下の点です。
- ウイルス検索する対象ファイルの検出、アクション自体はVMware vSphere/NSX側のコンポーネントが担っている
- ウイルス検索の実行、アクションの決定はDeep Security Virtual Applianceが行う
また、Deep Securityにおいてこの仕組みは不正プログラム対策のほかに変更監視機能でも利用されています。変更監視機能では仮想マシン上のファイル、ディレクトリの情報を取得してベースラインからの改ざんがなされていないかを確認することができますが、ファイル、ディレクトリ情報の取得にもこの仕組みを利用しているわけですね。
エージェントレスでもトリガーするためのドライバが必要
そしてこの流れを見ていただいたわかるとおり、エージェントレスではありますが、仮想マシンでのファイルアクセスを検出するためのドライバが必要であるということも重要な点です。
このドライバがなければ、ファイルアクセスを検出することもウイルス検索のための上記のプロセスをトリガーすることもできません。
このブログではGuest Introspection Driverと記載をしてきていますが、現行バージョンではNSXファイル自己検証ドライバと呼ばれています。VMware Toolsに含まれるVMCIドライバのひとつでこれを有効化しておく必要があります。
ちなみにNSXファイル自己検証ドライバの下にあるNSXネットワーク自己検証ドライバというものもあります。“ネットワーク”とあるので、Deep Securityのファイアウォール、侵入防御機能などを利用する場合に有効化する必要があるのではないかと思われると思いますが、こちらのドライバはDeep Securityのどの機能を利用する場合でも有効化の必要はありません。
また、エージェントレス型セキュリティの場合、ウイルス検索の結果マルウェアが検出された場合、それをWindowsにログインしているユーザに通知する仕組みがありません。突然ファイルが見えなくなってしまっては何が起こっているかわかりませんね。業務サーバであればそれでも運用が困ることは少ないと思いますが、仮想デスクトップ環境ではそうはいきません。
そのため、Deep SecurityにはDeep Security Notifierというポップアップツールを提供しています。NotifierはNSXファイル自己検証ドライバと連携してDeep Securityの検出状況をユーザに提供することができます。
NSXファイル自己検証ドライバ、Notifierともにパターンファイルなどの情報は保持していませんので、ログインごとに仮想マシンが生成されるような仮想デスクトップ環境であってもマスターイメージにこの2つのモジュールをあらかじめインストールしておくことによりスムーズな展開、運用が可能となります。
まとめ
ここまでエージェントレス型セキュリティにおけるウイルス検索の流れと仕組みを見てきました。
ただし、まだ押さえておかなくてはならない点があります。DSVAはvSphere/NSXの仕組みを通してウイルス検索を行うファイル情報を受け取っていますが、この仕組みを利用できるようにNSX側のサービスを設定しておく必要があります。
次回はその仕組みについて解説をしたいと思います。
執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)
【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】
-
- Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
- VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
- VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
- VMware NSXとDeep Securityのユースケースと実現できることとは?
- エージェントレス型ウイルス対策のアーキテクチャ(1)
- エージェントレス型ウイルス対策のアーキテクチャ(2)
- エージェントレス型による侵入防御/Webレピュテーションの実装
- エージェント型とエージェントレス型の使い分けのポイント
- コンバインモードの正しい理解と知っておきたいこと
- エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
- 分散ファイアウォールと連携したマルウェア検出時の自動隔離
- Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス
