Horizon NSX セキュリティ デジタル ワークスペース

VDI のセキュリティを支えるGuest Introspection のご紹介

ー Back Number ー
#1 VDI のセキュリティを支えるGuest Introspection のご紹介
#2 インスタントクローン環境でのvCenter Server の同時操作の制限
#3 Guest Introspection のログ及び Tips

はじめに

VMware NSX Data Center は、Software-Defined Data Center(SDDC)向けのネットワーク仮想化プラットフォームで、基盤となる物理インフラストラクチャからネットワークとセキュリティ機能全体を抽象化して、ソフトウェアで実行します。NSX Data Center の機能の1 つとして、ハイパーバイザーのレイヤーで、仮想NIC ごとにファイアウォール機能を提供する分散ファイアウォール(通称マイクロセグメンテーション)と呼ばれる非常に強力な機能があり、特にVMware Horizon 7VDI 環境において、脅威の拡散を防ぎセキュリティを強化するソリューションとして、多くのお客様にご採用いただいております。
全3 回にわたって、このHorizon 7 とNSX Data Center の連携に関してご紹介する予定ですが、今回は、そのHorizon 環境におけるマイクロセグメンテーションを実現するうえで重要なNSX Data Center のコンポーネントの1 つである「Guest Introspection」の概要を、VMware パートナーSE の馬場がご紹介いたします。

Guest Introspection の機能

Guest Introspection は、大きく分けると3 つの機能を持ちます。

  1. サードパーティ製のセキュリティソリューションと連携したセキュリティ機能
  2. Identity Firewall(ログイン検知)
  3. エンドポイントモニタリング

最もよくご利用いただいているのは1 のサードパーティ連携であり、例えば、トレンドマイクロ社のDeep Security と併せてご利用いただくことで、マルウェアに感染した仮想デスクトップをネットワークから自動的に切断する、といったように、内部ネットワークにおけるマルウェアの拡散リスクを削減することができます。こちらの機能については、もう少し詳細に説明いたします。
2 はWindows デスクトップにログインしたユーザーに応じてファイアウォールを適用することができる機能で、接続する場所やデバイスにとらわれることなく、ユーザーごとにシンプルでかつ一貫性のあるセキュリティポリシーを適用することができます。
3 は特定の仮想マシン間のネットワーク通信を可視化する機能であり、現状の可視化やトラブルシューティングに有効な機能です。
さて、ここからは1 のサードパーティ連携について、Deep Security を例に挙げながら、もう少し詳細にご紹介いたします。
各コンポーネントを図示すると、次のようになります。

Horizon 7 とNSX Data Center の連携における各コンポーネントの配置

ここで、NSX Manager はNSX Data Center の管理コンポーネントであり、vSphere の管理コンポーネントであるvCenter Server と1 対1 に紐づきます。このNSX Manager から、サードパーティ連携を実施するホストごとに1 つずつGuest Introspection (GI)をデプロイします。
SVM とはService VM の略であり、サードパーティ製のアプライアンスを指します。SVM を管理するコンポーネントとして、SVM Manager があります。トレンドマイクロ社の場合は、SVM Manager であるDSM(Deep Security Manager)にvCenter Server およびNSX Manager を登録し、SVM であるDSVA(Deep Security Virtual Appliance)をGuest Introspection と対になるよう、NSX Manager から各ホストごとにデプロイします。
環境の準備が完了しましたら、NSX Data Center のセキュリティグループ(セキュリティ機能を有効化する仮想マシン群)と連携させることで、既にご説明させていただいたように、例えばマルウェアを検知した仮想マシンをDeep Security の機能でタグ付けし、そのタグに応じてNSX Data Center が対象の仮想マシンをネットワークから自動的に切断する、といった連携が可能となります。これにより、管理者が仮想マシンのマルウェア感染に気付かなかったとしても、自動的に対象端末を隔離してくれますので、拡大感染のリスクをより削減することができます。

Deep Security がマルウェア感染を検知してNSX Data Center が対象端末をネットワークから隔離

なお、Deep Security の詳細につきましては、トレンドマイクロ社のサイトをご参照ください。
https://www.trendmicro.com/ja_jp/business/campaigns/vmware/resources.html

まとめ

今回は、NSX Datacenter のコンポーネントの1 つであるGuest Introspection の概要とメリットをご紹介いたしました。Guest Introspection のサードパーティ連携機能をご利用いただくことで、仮想デスクトップ環境のセキュリティ強化を実現することができます。
実はこの機能、Horizon における仮想デスクトップの高速展開機能であるインスタントクローンにも対応しております。インスタントクローンは、1 台の仮想デスクトップをものの数秒で作成してしまうスゴイ機能ですが、Guest Introspection との連携を考えた時に、コンピュートリソースの負荷を考える必要が出てきます。そこで、次回はこのような仮想デスクトップの高速デプロイ時の負荷を抑制するための、インスタントクローン環境におけるTips をご紹介いたします。お楽しみに︕