はじめに
皆様、こんにちは。 VMware の藤野です。
仮想デスクトップ VMware Horizon 製品の最新メジャーバージョンであるVMware Horizon 8 、またその中でも今年1月にリリースされました最新マイナーバージョン Horizon 8 2012 におきまして、VMware 製品の仲間となりました VMware Carbon Black 製品との組み合わせによる、インスタントクローン展開環境への正式サポート対応が新たに行われました。
今回はCarbon Black 製品の特長・価値をお伝えしつつ、Horizon 製品との組み合わせ利用時において、前提となる各々の製品におけるバージョン組み合わせの確認方法などについてご紹介させていただきます。
ところでVMware Horizon 8 におけるマイナーバージョン表記形式(”yymm”)には、既に慣れていただけておりますでしょうか? もし良く分からない、今一度確認したい、という方は、是非こちらの過去ブログ(VMware Horizonの新メジャーバージョンのご紹介)をご一読ください。
エンドポイントセキュリティとは?
エンドポイントセキュリティとは、デスクトップ、サーバー、スマートフォン、タブレットを含むモバイル端末や、今回の主旨となる Horizon 製品を代表とするような仮想デスクトップ環境において、内部および外部からの悪意ある脅威/攻撃から保護し、既知の脅威と未知の脅威により重大な被害や損傷が引き起こされる前に防ぎ・阻止することです。
従来型のウイルス対策ソフトは、既知のマルウエア攻撃を防止・検出するために開発されましたが、昨今高度化するサイバー攻撃においては、例えばファイルレスマルウェアなど出現により、パターンマッチングやAIや機械学習を利用した製品においても、その日々の進化や新たに生み出される脅威のスピードに対応することが難しくなってきました。
エンドポイントセキュリティの考え方では、従来型のウイルス対策もエンドポイントセキュリティの全体的な戦略の中のひとつといえますが、さまざまな攻撃防止、検出および応答テクノロジーとインテリジェントなサービスを組み合わせて、企業を悪意ある脅威から効果的に保護するための高度なセキュリティプラットフォームを形成する必要があると考えられています。また、それは予防だけでなく、不正な挙動の検出とそれに対する応答、レポーティング、脅威ハンティング、ビッグデータを活用した予測分析などが重要と言えます。
※1: https://www.vmware.com/content/dam/digitalmarketing/vmware/ja/pdf/EP_Japan_Threat_Report.pdf
Carbon Black 製品の特長
モバイル化の進展により、エンドポイントがセキュリティにおける新たな境界となり、また大規模なセキュリティ侵害の発端となる可能性が高まっております。そのため、より高度な攻撃による被害の拡大を未然に防ぐ機能を豊富に備えたエンドポイント保護ソリューションが必要とされています。この考え方は言うまでもなく、様々なデバイスからアクセスを可能とする仮想デスクトップの環境においても、仮想デスクトップ自体もセキュリティ侵害の発端となる可能性をはらむことを考慮すべき、非常に重要なポイントと言えます。
また、サイバー攻撃による攻撃自体の検出や被害の可視化において、従来型のセキュリティ製品では不足する部分を提供するためEDR (Endpoirnt Detection and Response) 製品が誕生いたしましたが、Carbon Black はこの分野におけるパイオニアとして幅広く認知されております。
VMware Carbon Black では、サイバー攻撃における侵入前の対策として、 NGAV (Next Generation AntiVirus)による、未知のサイバー攻撃に対処するために進化した独自開発の次世代アンチウィルス機能を提供しています。また振る舞いベースのEDR 機能では、 過去に観察されたことのない新たな攻撃を自動的に阻止し、攻撃チェーンの詳細情報を基に攻撃ステージを可視化し、迅速に根本原因を特定可能となります。
上位機能のAudit and Remediation では、オンデマンドでデバイス情報を取得し、セキュリティポリシーの監査や詳細情報などの可視化を行うことにより、リアルタイムのデバイス評価とセキュリティ状態の追跡および強化が可能となります。
さらに最上位のEnterprise EDR 機能を組合わせることにより、脅威の有無に関わらず端末上のすべての動作を記録することによる継続的なイベントの記録・分析が可能となり、全攻撃ステージの内容を可視化し、環境内の不審な動きを自動的に検知するなどスレットハンティングの実施が可能となります。
Carbon Black 製品では、単一のエージェントとコンソールで複数OSプラットフォームおよびクラウド環境に対して提供できますが、その中には VMware Horizon を含む VDI ソリューションも含まれます。このような最新の高度なサイバー攻撃からの保護機能を、仮想デスクトップおよび RDSH 環境でも利用できることは、運用上および管理上大きなメリットと言えるかと考えます。
何よりHorizon 製品との組み合わせ利用においては、共に VMware からの提供製品となりますので、組み合わせサポート有無の確認における手間の最小化だけでなく、一元的なサポートを受けられるなどのメリットも大きいと考えております。
サポート組み合わせの確認方法
冒頭でお話しましたように、今回 VMware Horizon 製品の最新メジャーバージョンであるHorizon 8 において、インスタントクローン展開が VMware Carbon Black 製品との組み合わせにおいて正式サポートとなりました。まずはそれぞれの製品のバージョンなどの組み合わせについて確認をしていきます。
みなさまご存知のように VMware 製品ごとの組み合わせについては、下記「VMware Product Interoperability Matrix」にて確認を進めますが、「VMware Horizon」 および「VMware Carbon Black Cloud Windows Sensor (※ Windows OS環境へ導入するCarbon Blackのエージェント)」をそれぞれ選択した画面となります。特に組み合わせ結果表の “i” マーク上にマウスをあわせていただくとポップアップ表示される追加・補足情報において、今までは”Preview Capacity” となっていたサポート状態が、Horizon 8 2012 リリースでは文言が削除されていることが確認できます。
補足)「Horizon 7.13」 と「Windows Sensor 3.6」の組み合わせにおいては”Carbon Black Windows Sensor supports Horizon full clones and instant clones in GA capacity.”となっていますが、実はHorizon 7メジャーリリース世代として、いち早くインスタントクローンも正式サポートされております。
KB79180 で詳細を確認
また、上記 Interoperability Matrix 上の追加・補足情報にも記載ありますKBドキュメント(79180 : Interoperability of VMware Carbon Black and Horizon)においては以下の記述があり、Horizon (8) 2012 (およびHorizon 7.13)がCarbon Black Windows Sensor バージョン3.6の組み合わせにおいて正式サポートされている組み合わせであることが確認できます。
さらにこちらの KB には、各クローン展開方法との組み合わせにおいて、Carbon Black のエージェントの導入手順をベストプラクティスや前提事項、制限事項などとともに紹介しております。特に、インスタントクローンの展開にあたっては記載ありますように、Carbon Black Endpoint Standard (NGAV & Behavioral EDR)のみのサポートであることは注意してください。 [2021/07/15 追記]: Carbon BlackとHorizon製品の互換性に関するKB(https://kb.vmware.com/s/article/79180?lang=ja)が更新され、上記制限が緩和されました。詳細については、弊社担当者までお問い合わせください。
具体的な展開の検討やPOCの実施などの際には、ご一読いただくことを強く推奨致します。
いかがでしたでしょうか?
次回のシリーズ第二回では、上記 KBの情報などをもとに、より具体的なインストールの流れなどを見ていきたいと考えております。是非ご期待ください。
