トレンドマイクロ VMware テクニカルアライアンス担当 野村です。
今年の7月末に、VMware NSX-T® Data Center(以降 NSX-T Data Center)3.0環境でのDSVAの展開が可能となるDeep Security 20.0(以降DS 20.0)がリリースされ、すでに導入をご検討頂いているお客様も多くいらっしゃいます。
本記事ではDS 20.0のアップデートと最新版のインテグレーションガイドについてご紹介します。
ーーーーーーーーーー
<2021年4月 アップデート情報 : DSVA展開時にオーバーレイトランスポートゾーンが必須となる点についての解説>
VMware NSX-T 3.x環境でのDeep Security Virtual Appliance(DSVA)の展開にあたって、よくお問い合わせをいただく仕様について、今回はご案内していきます。本内容は既に紹介させていただい ているDeep Security 20.0(DS 20.0)/NSX-T Data Center 3.0(NSX-T 3.0)のインテグレーションガイドにも記載している内容となります。まだご覧になっていない方は、併せてご覧いただければと思います。
https://www.trendmicro.com/ja_jp/business/campaigns/vmware/resources/NSXT30-TMDS20_kb_update.html
ーーーーーーーーーー
<VMware環境に関連するDS 20.0のアップデート>
■ NSX-T Data Center 3.0への対応と提供機能の拡充
DS 20.0はNSX-T Data Center 3.0に対応しています。
これに伴い、NSX-T Data Center 3.0環境に対しても侵入防御やファイアウォール、Webレピュテーションといったネットワーク系のセキュリティ機能、およびポリシー連携機能を提供できるようになりました。
NSX-T Data Center環境の場合、DS 12.0までは機能の提供範囲がWindows OSのみに限定されていましたが、DS 20.0ではLinux OSに対してもエージェントレスでこれらの機能を提供できるようになりました。
※変更監視機能はWindows OSのみが対象です。またLinux OSに対する不正プログラム対策、および侵入防御機能利用時の推奨設定の検索機能はDS 20.0でも未対応です。
NSX-T環境に対するセキュリティ機能の提供マトリクス
■ NSX-T for vShield Endpointへの対応
DS 20.0はNSX-T for vShield Endpointにも対応しています。
VMware vSphereのStandard以上のエディションをご利用中のお客様であれば、NSXライセンスが未購入の状態でもNSX-T for vShield Endpointという形でNSX-T Data Centerの一部機能が利用できます。
DS 20.0リリースにより、こうした環境にもDSVAをご導入いただくことが可能になりました。
ただし、NSX-T for vShield Endpoint環境でDSVAをご利用いただく場合、利用できるDSVAの機能が制限されることをあらかじめご了承ください。
(不正プログラム検知時の自動隔離やネットワーク系のセキュリティ機能をご利用の際はNSX-T Data CenterのAdvanced以上のライセンス購入が必要です。)
NSX-T環境に対するセキュリティ機能の提供マトリクス
尚、NSX-T for vShield EndpointでDSVAを構築される場合、仮想スイッチについてもご検討いただく必要があります。
DSVA展開の際は、配信対象のESXiをNSX-T Data Centerのトランスポートノードとして定義する必要があります。
このトランスポートノードを構成するにはVDS、またはN-VDSが必要ですが、今後VMware社では vSphere 7 環境でのN-VDSのサポート廃止を予定しています。このため新たに環境を構築する際、vSphere 7環境ではVDSの利用が推奨となります。
N-VDSの廃止に関しては以下のページをご確認ください。
参照:VMware NSX-T Data Center 3.0リリースノート
また、Horizon Instant Clone 利用時には注意が必要です。詳細につきましては、以下KBを参照下さい。
NSX Port Groups on VDS 7.0 Issues/Support for Horizon Instant Clones(80706)
■ デプロイ時の制約解消
NSX-T Data Center 2.5環境でDSVA 12.0を構築する場合「DSVAのパッケージ配置時に外部のHTTP Webサーバが必要」という制約がありました。この制約がDS 20.0では解消しています。
ここではDSVAに関するアップデートのみを簡単にご紹介しましたが、DS 20.0では他にも様々な機能拡張を実現しています。Deep Security 20.0 のアップデートに関する情報は以下もご確認ください。
参考:Deep Security 20.0リリース!DSVA関連のアップデート
さらにDS 20.0のリリースに伴い、ご要望を多くいただいていたインテグレーションガイドもリリースいたしました。
<インテグレーションガイド>
VMware NSX-T Data Center & Trend Micro Deep Securityインテグレーションガイド
~エージェントレスセキュリティとマイクロセグメンテーション~
[VMware NSX-T Data Center 3.0 + Trend Micro Deep Security 20.0対応]
NSX-T3.0+DSVA20.0_IntegrationGuide_Rev1.2.pdf
このインテグレーションガイドでは、NSX-T Data Center 3.0環境におけるDS 20.0の構築・設定手順の他、VMware NSX® for vSphere®との仕様の違いや留意点、サイジングの考え方などについても記載をしております。
これまでの環境と異なる点の一例として、NSX-T Data Center 3.0上でDSVAを利用する場合のネットワーク構成が挙げられます。
NSX-T Data Center 3.0環境上にDS 20.0を構築する場合、利用するDSVAの機能に応じて必要となる仮想マシンのネットワーク構成(保護対象のVMの論理スイッチ/セグメントの配置場所)が異なります。
お客様のご要件によっては、ご利用中の構成を変更する必要がある可能性がございます。
■ 不正プログラム対策機能、変更監視機能
保護対象の VM が DSVA の配信される ESXi ホスト上であれば論理スイッチ/セグメントの配下でなくても問題ない
■ 不正プログラム対策+端末の自動隔離
保護対象の VM が NSX-T により作成された論理スイッチ/セグメントの配下に存在すること
■ 侵入防御機能、ファイアウォール機能、Web レピュテーション機能
保護対象の VM が NSX-T のサービスセグメントとして指定したトランスポートゾーンの論理スイッチ/セグメントの配下に存在すること
参考:P.20 1-4-4. NSX-T 環境における DSVA 展開の前提条件と把握しておくべき事
このようにNSX-T Data Center環境特有の仕様や留意点、NSX-T Data Center 3.0/DS 20.0からの変更点などもありますので、提案、設計、導入の前には必ず一読をいただければと思います。
執筆者:
トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
ソリューションアーキテクト
野村 達広(Nomura Tatsuhiro)
