Deep Security 12.0 VMware NSX-T環境におけるエージェントレス型セキュリティの実装概要
トレンドマイクロ VMware テクニカルアライアンス担当 栃沢です。
前回のブログで Trend Micro Deep Security™ 12.0(以降 Deep Security)のリリース概要と VMware 関連のアップデートについてご紹介しました。
今回は、その中でも特に大きなアップデートである VMware NSX-T® Data Center(以降 NSX-T Data Center)への対応について、技術的なポイントを踏まえてご紹介をしていきたいと思います。
改めて、“NSX-T Data Center への対応”の概要についておさらいしておきましょう。
<NSX-T Data Center 環境で Deep Security 12.0 が連携して提供できる機能>
- NSX Manager & vCenter Server 連携による仮想マシン情報の取得
- VMware ESXi™(以降 ESXi)に対して NSX-T Data Center を展開することで Deep Security Virtual Appliance(以降DSVA)によるエージェントレス型不正プログラム対策を提供 (対象となる仮想マシンは Windows OS のみ)
- 不正プログラム対策イベント検出時の NSX Manager へのセキュリティタグの付与による分散ファイアウォールによる自動隔離の実装
なお、上記の連携ができるのは、Deep Security 12.0 (Deep Security 12.0 Update1 以降の利用を推奨)と NSX-T Data Center 2.4.1 以降の組み合わせです。また、ハイパーバイザは ESXi のみで、KVM には対応していません。
■ NSX-T Data Center 環境における Deep Security の配置
まず、NSX-T Data Center 環境において Deep Security がどのように配置されるのかを確認しておきましょう。
Deep Security においてエージェントレス側セキュリティを提供するためには DSVA を保護対象としたい各 ESXi へ配信をすることが必要になります。また、DSVA の配信は VMware NSX の仕様として個別 ESXi ホストごとへの配信はできず、クラスタ単位で行います。
ここで、VMware NSX Data Center for vSphere (以降はNSX Data Center for vSphere)をご存知な方は Guest Introspection も配信しないの? と思われるかもしれません。NSX-T Data Center では、仮想アプライアンスとしての Guest Introspection の配信をする代わりに ESXi ホストに導入される Ops Agent が 3rd Party 連携に必要な機能を提供する形になっています。
また、NSX-T Data Center 2.4 より NSX Manager に Controller が内蔵されたことにより、商用利用では NSX Manager を3台構築することが必要になりました(NSX Controller の仕様に依存)。この点も本番環境への導入時にはリソース面の確保など留意しておきたいポイントですね。
ちなみに、Deep Security Manager(以降 DSM)から NSX-T Data Center の NSX Manager の登録を行う際は NSX-T Data Center の NSX Manager で設定できる Cluster VIP を設定することが推奨されています。
そしてもう1つ。DSVA を配信する際には予めいくつか準備をしておく必要がある設定があります。
それがトランスポートゾーンの設定です。トランスポートゾーンを理解する上で必要な用語を以下に簡単にご紹介しておきます。
トランスポートゾーン
エージェントレス型セキュリティを提供(=DSVA を配信)したいクラスタに展開される仮想ネットワーク
トランスポートノード
NSX-T Data Center においてトラフィック転送を司るノード。トランスポートゾーンを展開したい ESXi ホスト(クラスタ)を指定
トランスポートノードプロファイル
トランスポートノードとして指定された ESXi ホスト(クラスタ)に対してトランスポートゾーンやそれに紐づくアップリンクポート、物理ポートなどを規定するためのプロファイル
N-VDS:NSX Virtual Distributed Switch
トランスポートノードでスイッチング機能を実行する NSX ソフトウェアコンポーネント、トランスポートノードプロファイルの中でアップリンクポートや ESXi ホストの物理 NIC などを設定
Deep Security を展開する観点から整理すると、DSVA で保護したい対象が所属する仮想ネットワークを “トランスポートゾーン” として指定し、その仮想ネットワークを展開したい ESXi ホスト(クラスタ)を “トランスポートノード” として指定します。
ESXi ホスト上で展開される仮想スイッチの設定は “トランスポートゾーンプロファイル” により行い、DSVA の展開は必ずトランスポートゾーンに所属している ESXi ホスト(クラスタ)を指定する必要があります。 “トランスポートゾーン” の設定がされていないとエージェントレス型セキュリティ(NSX-T Data Center では “エンドポイントの保護” と呼ぶ)を提供することができません。
また、上記設定を行うことによって、ESXi ホスト上に自動的に分散仮想スイッチ(vDS)が展開されます。NSX Manager から展開された分散仮想スイッチは vCenter Server から設定を変えることはできず、また、既存の分散仮想スイッチに対して NSX-T Data Center で提供するサービスを提供することもできませんので、設計、構築時には留意しておいてください。
■ NSX-T Data Center 環境における管理面でのポイント
実際の管理面でのポイントについても少し触れておきましょう。
- NSX-T Data Center のサービスは NSX-T Data Center の NSX Manager から直接管理を行うため、vCenter Server を中心とした管理体系から NSX-T Data Center の NSX Manager GUI による管理へ変更
→ NSX-T Data Center の NSX Manager から vCenter Server をコンピュータノードとして登録します。 - Deep Security での不正プログラム対策イベント検出時のセキュリティタグ付与による分散ファイアウォールでの自動隔離は NSX Data Center for vSphere 同様に可能
- 各仮想マシンの NSX サービスステータスは NSX-T Data Center の NSX Manager で管理
→ vCenter Server では仮想マシンに対する NSX セキュリティグループやセキュリティタグは表示されなくなっています。また、それに伴って DSM 上でも NSX セキュリティグループやセキュリティタグのステータスは表示されなくなっています。
これは NSX-T Data Center が NSX Manage を中心に運用を行っていくことを前提に設計されて、vCenter Server だけでなく KVM や今後展開される他のハイパーバイザ、クラウドへの対応を見据えた変更なのだと思います。
また、Deep Security の連携において大きな影響がある部分としては、以下の点が挙げられます。
- NSX-T Data Center セキュリティプロファイル (ポリシー) に対する Deep Security ポリシーの連携が未対応
従来、NSX Data Center for vSphere と Deep Security の連携では、NSX が提供するセキュリティポリシーのゲストイントロスペクションサービスで Deep Security が保持するポリシーを指定することで仮想マシンの生成時にゲストイントロスペクションサービスと同時に Deep Security のポリシーの有効化までを自動的に行うことができました。現時点(2019年8月時点)では、NSX-T Data Center の“サービスプロファイル“で Deep Security ポリシーを適用することはできません。
仮想デスクトップ環境でフローティング割り当てによる仮想マシンの生成を行っている場合には、サービスプロファイル側では ”Default (EBT) ” を設定し、Deep Security 側では vCenter Server 上で仮想マシンの生成を検出した際に DSM が該当の仮想マシンに対して自動的にポリシーを割り当てる ”イベントベースタスク”を合わせて設定しておくことでポリシー適用の自動化を図ることができます。
イベントベースタスクの詳細については Deep Security ヘルプセンターをご参照ください。
以上、Deep Security 12.0 と NSX-T Data Center 2.4.1 の連携についてご紹介しました。
最後に、実際の導入にあたっては、Deep Security 12.0 Update 1(8/9にリリース済み)からがVMware も含めてサポートする予定のビルドとなりますので、こちらをご利用いただくようにしてください。
(トレンドマイクロの互換性マトリックスでは Deep Security 12.0 から利用できるように記載されていますが、VMware の互換性に関するサポート承認もされる予定のバージョンは Deep Security 12.0 Update 1 からになる予定です。)
執筆者:
トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
シニアソリューションアーキテクト / VMware vExpert
栃沢 直樹(Tochizawa Naoki)
【Deep Security 12.0リリース! VMware関連アップデートのご紹介】
