パートナー NSX TIPS & Information セキュリティ

Deep Security 12.0リリース! VMware 関連アップデートのご紹介(1)

Deep Security 12.0 リリース内容とVMwareソリューション関連のアップデート

トレンドマイクロ VMware テクニカルアライアンス担当 栃沢です。

2019年6月に総合サーバセキュリティ製品である Trend Micro Deep Security™ の最新バージョン12.0 がリリースされました。
今回から3回に分けて Deep Security 12.0 のリリースの内容と VMware 製品との連携に関わるアップデートについてご紹介をしていきたいと思います。

ハイブリッドクラウドセキュリティを実現する Trend Micro Deep Security™
まず、改めて Deep Security の特徴を簡単にご紹介します。
Deep Security は、物理、仮想化、クラウドなどの環境にかかわらずサーバセキュリティに必要な機能を提供することができるセキュリティソリューションです。

セキュリティの統合管理を行う Deep Security Manager(DSM:Deep Security における管理マネージャ)は、VMware vCenter Server (以降、vCenter Server) や AWS マネジメントコンソールなどのインフラ基盤と連携することが可能です。これは IT 管理者にとっては非常に有用な機能で、仮想マシン(またはインスタンス)が生成されたことをリアルタイムに検出し、必要に応じて予め設定をしておいたセキュリティ保護を自動的に適用することを可能とします。「セキュリティ適用の可視化、統制」と「運用の簡素化」を両立でき、VMware 環境では vCenter Server さえあれば、連携が可能となりますので、ぜひ試していただきたいと思います。

そして VMware vSphere 環境では、VMware NSX Data Center と組み合わせて利用することで「サーバ単位」で適切なアクセス制御とサーバ要塞化を実現することが可能となります。

Deep Security 12.0 新機能とアップデート
次に Deep Security 12.0 で追加された新機能・アップデート内容を紹介します。
Deep Security 12.0は、Deep Security 11.1~11.3(Feature Release)でアップデートされた内容と Deep Security 12.0 で新たに追加された新機能、アップデートで構成されています。
アップデートのポイントは大きく2つに分けられます。

  • コンテナなど新しい環境/技術への対応
  • セキュリティオートメーションの促進

主なアップデートの内容は以下の通りです。

詳細はこちらをご参照ください。

Deep Security12.0  VMware 関連アップデート
そしてここから本題である Deep Security 12.0 における VMware 関連のアップデートをご紹介していきます。
VMware ソリューションのアップデートは、以下の2つになります。

  • VMware NSX-T Data Center (以降、NSX-T Data Center) 連携によるエージェントレス型セキュリティの実装
  • DSVA バージョンアップ手順の大幅削減(シームレスアップデート)

それぞれについて、アップデートの概要を以下にご紹介していきます。

■ NSX-T Data Center 連携によるエージェントレス型セキュリティの実装
今回のアップデートの目玉と言ってもいいのがこの「NSX-T Data Center 連携」です。従来、VMware NSX Data Center for vSphere (以降は、NSX Data Center for vSpehre) 環境では、セキュリティVM である Deep Security Virtual Appliance(DSVA)を VMware ESXi (以降、ESXi)ホストに配信することで、エージェントレス型のセキュリティ対策を提供してきました。VMware Horizon による仮想デスクトップ環境や Windows サーバに対するエージェントレスでの不正プログラム対策(ウイルス対策)のために多くのお客様で利用を頂いておりますが、Deep Security 12.0 から NSX-T Data Center 環境でも利用して頂けるようになりました。
NSX-T Data Center 環境で Deep Security 12.0 が連携して提供できる機能は以下になります。

  • NSX Manager & vCenter Server 連携による仮想マシン情報の取得
  • ESXi に対して NSX-T Data Center を展開することで DSVA によるエージェントレス型不正プログラム対策を提供 (対象となる仮想マシンは Windows OSのみ)
  • 不正プログラム対策イベント検出時の NSX Manager へのセキュリティタグの付与による分散ファイアウォールによる自動隔離の実装

DSVA は NSX Data Center for vSphere と同様に各 ESXi ホストに配信し、配信する際のパッケージ(DSVA の OVF ファイル)は共通化されています。一方で、NSX Data Center for vSphere と NSX-T Data Center では構成要件や実装方法が異なるため、実際の導入にあたっては NSX Data Center for vSphere のイメージのままだと理解しづらい点があるので留意が必要です。Deep Security の観点から NSX Data Center for vSphere と NSX-T Data Center での相違点を整理しておきましょう。

  • セキュリティ仮想アプライアンス(SVM)としての Guest Introspection 廃止
    • NSX-T Data Center の NSX Manager から各 ESXi ホストに展開される Guest Introspection Service によってエージェントレス型ウイルス対策(エンドポイントセキュリティ)を提供
  • Guest Introspection Service が利用可能(=DSVAが展開可能)なハイパーバイザは ESXi のみ(KVMは対象外)
  • NSX-T Data Center のサービスは NSX-T Data Center の NSX Manager から直接管理を行うため、vCenter Server を中心とした管理体系から NSX-T Data Center の NSX Manager GUI による管理へ変更
    • NSX-T Data Center の NSX Manager から vCenter Server をノード登録
  • 各仮想マシンの NSX サービスステータスは NSX-T Data Center の NSX Managerで管理
    • vCenter Server では仮想マシンの NSX セキュリティグループやセキュリティタグは表示できない
  • NSX-T Data Center セキュリティプロファイル(ポリシー)に対する Deep Security ポリシーの連携は未対応
  • NSX-T  Data Center 2.4 より NSX Manager に Controller が内蔵されたことにより、商用利用では NSX Manager を 3台構築することが必要(NSX Controller の仕様に依存)
    • DSM からの登録は NSX-T Data Center の NSX Manager Cluster VIP を設定することを推奨

■ DSVA バージョンアップ手順の大幅削減(シームレスアップデート)
Deep Security12.0 から NSX Data Center for vSphere 環境において、DSM の UI から DSVA の OVF をアップグレードできるようになりました。
従来、配信済の DSVA の OVF ファイルも含めたバージョンアップを行う際には、vCenter Server の“ネットワークとセキュリティ”から該当するクラスタに所属するホスト上の DSVA すべてを一度削除し、新しい OVF ファイルから再デプロイする必要がありました。新たに実装されたシームレスアップデートにより、DSM GUI から DSVA が配信されているホストに対してセキュリティアプライアンスのアップグレードを実行することが可能になりました。これによってホストごとに順次アップデートすることが可能となると同時に、セキュリティ機能の停止もアップグレード中の一時的なものに短縮することができます。より簡易にかつサービス影響をより少なく行うための選択肢が増えたことになります。
※従来の vCenter Server からの DSVA の再配信も行うことは可能です。
※シームレスアップデートについては、NSX-T Data Center 環境では実行できません。

次回からは今回ご紹介したアップデートについてもう少し詳しくご紹介をしていきたいと思います。

執筆者:
トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
シニアソリューションアーキテクト / VMware vExpert
栃沢 直樹(Tochizawa Naoki)

【Deep Security 12.0リリース! VMware関連アップデートのご紹介】

    1. Deep Security 12.0 リリース内容とVMwareソリューション関連のアップデート
    2. Deep Security 12.0 VMware NSX-T環境におけるエージェントレス型セキュリティの実装概要
    3. DSVAシームレスアップデートによるアップデートの簡素化

 

Akira Kitamura

Lead Partner Readiness Specialist, Division 2, Partner Technical Organization, VMware

関連記事