セキュリティ NSX NSX Data Center TIPS & Information vSphere パートナー

VMware NSX-T Data Center 3.0対応のTrend Micro Deep Security 20.0およびインテグレーションガイドのリリース

トレンドマイクロ VMware テクニカルアライアンス担当 野村です。

今年の7月末に、VMware NSX-T® Data Center(以降 NSX-T Data Center)3.0環境でのDSVAの展開が可能となるDeep Security 20.0(以降DS 20.0)がリリースされ、すでに導入をご検討頂いているお客様も多くいらっしゃいます。

 

本記事ではDS 20.0のアップデートと最新版のインテグレーションガイドについてご紹介します。

ーーーーーーーーーー

<2021年4月 アップデート情報 : DSVA展開時にオーバーレイトランスポートゾーンが必須となる点についての解説>

VMware NSX-T 3.x環境でのDeep Security Virtual Appliance(DSVA)の展開にあたって、よくお問い合わせをいただく仕様について、今回はご案内していきます。本内容は既に紹介させていただい ているDeep Security 20.0(DS 20.0)/NSX-T Data Center 3.0(NSX-T 3.0)のインテグレーションガイドにも記載している内容となります。まだご覧になっていない方は、併せてご覧いただければと思います。

https://www.trendmicro.com/ja_jp/business/campaigns/vmware/resources/NSXT30-TMDS20_kb_update.html

ーーーーーーーーーー

<VMware環境に関連するDS 20.0のアップデート>

■ NSX-T Data Center 3.0への対応と提供機能の拡充

DS 20.0はNSX-T Data Center 3.0に対応しています。

これに伴い、NSX-T Data Center 3.0環境に対しても侵入防御やファイアウォール、Webレピュテーションといったネットワーク系のセキュリティ機能、およびポリシー連携機能を提供できるようになりました。

NSX-T Data Center環境の場合、DS 12.0までは機能の提供範囲がWindows OSのみに限定されていましたが、DS 20.0ではLinux OSに対してもエージェントレスでこれらの機能を提供できるようになりました。

※変更監視機能はWindows OSのみが対象です。またLinux OSに対する不正プログラム対策、および侵入防御機能利用時の推奨設定の検索機能はDS 20.0でも未対応です。

 

NSX-T環境に対するセキュリティ機能の提供マトリクス

■ NSX-T for vShield Endpointへの対応

DS 20.0はNSX-T for vShield Endpointにも対応しています。

VMware vSphereのStandard以上のエディションをご利用中のお客様であれば、NSXライセンスが未購入の状態でもNSX-T for vShield Endpointという形でNSX-T Data Centerの一部機能が利用できます。

DS 20.0リリースにより、こうした環境にもDSVAをご導入いただくことが可能になりました。

ただし、NSX-T for vShield Endpoint環境でDSVAをご利用いただく場合、利用できるDSVAの機能が制限されることをあらかじめご了承ください。

(不正プログラム検知時の自動隔離やネットワーク系のセキュリティ機能をご利用の際はNSX-T Data CenterのAdvanced以上のライセンス購入が必要です。)

 

NSX-T環境に対するセキュリティ機能の提供マトリクス

尚、NSX-T for vShield EndpointでDSVAを構築される場合、仮想スイッチについてもご検討いただく必要があります。

DSVA展開の際は、配信対象のESXiをNSX-T Data Centerのトランスポートノードとして定義する必要があります。

このトランスポートノードを構成するにはVDS、またはN-VDSが必要ですが、今後VMware社では vSphere 7 環境でのN-VDSのサポート廃止を予定しています。このため新たに環境を構築する際、vSphere 7環境ではVDSの利用が推奨となります。

 

N-VDSの廃止に関しては以下のページをご確認ください。

参照:VMware NSX-T Data Center 3.0リリースノート

 

また、Horizon Instant Clone 利用時には注意が必要です。詳細につきましては、以下KBを参照下さい。

NSX Port Groups on VDS 7.0 Issues/Support for Horizon Instant Clones(80706)

 

■ デプロイ時の制約解消

NSX-T Data Center 2.5環境でDSVA 12.0を構築する場合「DSVAのパッケージ配置時に外部のHTTP Webサーバが必要」という制約がありました。この制約がDS 20.0では解消しています。

 

ここではDSVAに関するアップデートのみを簡単にご紹介しましたが、DS 20.0では他にも様々な機能拡張を実現しています。Deep Security 20.0 のアップデートに関する情報は以下もご確認ください。

参考:Deep Security 20.0リリース!DSVA関連のアップデート

 

さらにDS 20.0のリリースに伴い、ご要望を多くいただいていたインテグレーションガイドもリリースいたしました。

 

<インテグレーションガイド>

 

VMware NSX-T Data Center & Trend Micro Deep Securityインテグレーションガイド

~エージェントレスセキュリティとマイクロセグメンテーション~

[VMware NSX-T Data Center 3.0 + Trend Micro Deep Security 20.0対応]

NSX-T3.0+DSVA20.0_IntegrationGuide_Rev1.2.pdf

 

このインテグレーションガイドでは、NSX-T Data Center 3.0環境におけるDS 20.0の構築・設定手順の他、VMware NSX® for vSphere®との仕様の違いや留意点、サイジングの考え方などについても記載をしております。

 

これまでの環境と異なる点の一例として、NSX-T Data Center 3.0上でDSVAを利用する場合のネットワーク構成が挙げられます。

NSX-T Data Center 3.0環境上にDS 20.0を構築する場合、利用するDSVAの機能に応じて必要となる仮想マシンのネットワーク構成(保護対象のVMの論理スイッチ/セグメントの配置場所)が異なります。

お客様のご要件によっては、ご利用中の構成を変更する必要がある可能性がございます。

 

■ 不正プログラム対策機能、変更監視機能

保護対象の VM が DSVA の配信される ESXi ホスト上であれば論理スイッチ/セグメントの配下でなくても問題ない

 

■ 不正プログラム対策+端末の自動隔離

保護対象の VM が NSX-T により作成された論理スイッチ/セグメントの配下に存在すること

 

■ 侵入防御機能、ファイアウォール機能、Web レピュテーション機能

保護対象の VM が NSX-T のサービスセグメントとして指定したトランスポートゾーンの論理スイッチ/セグメントの配下に存在すること

参考:P.20 1-4-4. NSX-T 環境における DSVA 展開の前提条件と把握しておくべき事

 

このようにNSX-T Data Center環境特有の仕様や留意点、NSX-T Data Center 3.0/DS 20.0からの変更点などもありますので、提案、設計、導入の前には必ず一読をいただければと思います。

 

 

執筆者:

トレンドマイクロ株式会社

エンタープライズSE本部

セールスエンジニアリング部 サーバセキュリティチーム

ソリューションアーキテクト

野村 達広(Nomura Tatsuhiro)