こんにちは、VDSポートグループ (DVPG) で 分散FW など 「NSX セキュリティ機能」が利用できるようになったのをご存知でしょうか？「NSX Security ライセンス」や「Professional」などの 「NSX-T ライセンス」であればVDSポートグループ（DVPG)でNSX セキュリティ機能が利用できます。では、利用するにあったってどういった条件があるのか、使い所は？といったユースケースをここでご紹介したいと思います。

NSX-T を使用することで、NSX 分散仮想スイッチ (N-VDS) を展開することなく、vSphere Distributed Switch (VDS) に NSXの分散セキュリティをインストールすることができます。これにより、NSX ホスト スイッチによって管理されているかどうかに関係なく、仮想マシンで 分散FW（DFW）などの 「NSX セキュリティ機能」が動作します。

まずは、DVPG で 分散FW など NSX セキュリティ機能を利用するための前提条件を確認していきたいと思います。

DVPG で 分散FW など NSX セキュリティ機能を利用するための条件

対応ソフトウェアバージョン：

• NSX-T : 3.2.0.1 以降
• vSphere : 6.7 または 7.0 以降
• VDS (vSphere Distributed Switch) : 6.6以降
  .
  # vCenterとNSXのUI統合は、「NSX-T 3.2.0.1 以降、vSphere 7.0u3 以降」が条件になります。今回の設定はUI統合とは異なりますので、「vSphere 6.7 または 7.0 以降」となります。

対応ライセンス：

• VMware NSX-T Data Center 3.2.x : 
  • Professional
  • Advanced
  • Enterprise Plus
  • ROBO
    .
    # こちらの KB(860965) にある表の内容のように、VDSポートグループ (vSphere 6.7以降) で 分散FW など NSX セキュリティ機能を利用する「Distributed Firewall for VDS Switchports」が Professional 以上でご利用いただけます。
    .
    .

• NSX-T 3.2 Security :
  • NSX Distributed Firewall
  • NSX Distributed Firewall With Threat Prevention
  • NSX Distributed Firewall With Advanced Threat Prevention
    .
    # こちらの KB(87077) にある表の内容のように、VDSポートグループ (vSphere 6.7以降) で 分散FW など NSX セキュリティ機能を利用する「Distributed Firewall for VDS Switchports」が NSX Distributed Firewall 以上でご利用いただけます。

その他の条件：

• vSphere クラスタに VDSが少なくとも１つ必要、VSS/標準仮想スイッチへでのNSXセキュリティ機能は未対応
• vSphere クラスタに N-VDS が展開されていないこと
• コンピュート マネージャが NSX-T に登録されていること
• [システム] > [クイックスタート] の「セキュリティとネットワーク用のクラスタの準備」から「セキュリティ専用」を用いてクラスタにインストールすること（下図参照）
  .
  ご注意：以下のような手順でインストールする場合には未対応となります
  ・マニュアルでNSXを構成した場合（「ファブリック」からトランスポートノードプロファイルをクラスタに適用する方法）
  ・[クイックスタート] の「セキュリティ専用」ではなく「ネットワークとセキュリティ」でクラスタにインストールする場合
  .
  

次に、DVPG で 分散FW など NSX セキュリティ機能を利用するための条件をもとに、インストール手順を見て行きたいと思います。

1. ブラウザから、NSX Manager に管理者権限でログイン
2. [システム] > [クイックスタート] に移動
3. [セキュリティとネットワーク用のクラスタの準備] で、[はじめに] をクリック
4. 分散セキュリティをインストールするクラスタを選択
5. [NSX のインストール] をクリックして、[セキュリティ専用] を選択

クラスタに NSX がインストールされると、分散ポートグループのオブジェクトが、以下のようにNSX UI のセグメントにも作成されます。

NSX UI では、上図のようにDVPGの「セグメント」は、「NSX セグメント」と別表示になっていますので、DVPGなのかを容易に区別できるようになっています。そして、このDVPGのオプジェクトを使って、NSXのセキュリティルールに利用する「グループ」を作成し、マイセグや分散IPSなどのルールを適用していくことができます。

NSXセキュリティがある場合とない場合のクラスタ間での仮想マシンの vMotion

「NSXセキュリティのないクラスタ」から「NSXセキュリティのあるクラスタ」に仮想マシンを vMotion すると、「NSXセキュリティのあるクラスタ」のセキュリティ ポリシーが仮想マシンに適用されます。逆に、「NSXセキュリティのあるクラスタ」から「NSXセキュリティのないクラスタ」に仮想マシンを vMotion すると、セキュリティ ポリシーが削除される動作になります。

このように、「NSX 展開済クラスタ」へのvMotionでのマイグレーションができるようになり、切り戻したい場合にもvMotionで簡単に戻せるため、試験導入のハードルを低く抑えることができるようにしています。導入の手間や作業工数も少なく、リスクを抑えた安全な基盤のマイグレーションが実施いただけるようになっています。

DVPGで利用可能なNSXセキュリティ機能

インストールはしみてたものの、そもそもDVPGで利用可能なNSXセキュリティ機能とはどういったものがあるのでしょうか。NSXセキュリティでは、DVPG に次のようなセキュリティ関連の機能を提供しています。

• 分散ファイアウォール (DFW)
• 分散 IDS/IPS
• IDファイアウォール
• L7 アプリケーション ID ファイアウォール (App-ID FW)
• FQDN フィルタリング
• NSX Intelligence
• NSX マルウェア防止（ファイルに対するAVスキャンやサンドボックス解析）
• NSX ゲスト イントロスペクション

このようなUTM製品相当のセキュリティ対策が、ハイバーバイザーにビルトインし、ネットワーク的には透過的に動作します。これにより、エージェントレスで且つネットワークの構成変更なしに、高度なセキュリティ機能を容易にアドオンしていくことができてしまいます。

それでは、最後にこうしたセキュリティ機能の活用例として、ユースケースを２つご紹介したいと思います。

ユースケース

① vSphere基盤の強靭化

昨今の脅威は、一旦DC内部に入られると、セグメント内の通信は全て許可されていたり脅威検知の仕組みがないために、その中は自由に動き回って脅威が拡散したり、侵害がどこまで拡散しているかわからないといった状況が起き始めています。上記の手順を適用するだけで、vSphere基盤でVDSやDVPGの構成はそのままに、NSXセキュリティがアドオンされまして、攻撃・侵害全体の流れを可視化したり、脅威を防御・予防していくことができるようになります。以下のようなNSXの各種セキュリティ機能をフル活用しつつ、管理は NSX Manager で一元管理することで、シンプルなオペレーションで基盤強靭化を施行いただくことができます。

② VMware Horizon基盤の最新脅威への対策

また、VMware HorizonのようなVDI環境は、常にインターネットアクセスを行う業務にも利用されるプラットフォームになりますが、昨今のアンチウイルスでの防御にも限界がきていたり、パッチ適用までのリードタイムが脅威となってしまうことが終始懸念されます。同じように上記の手順を適用するだけで、ご利用中のVMware Horizonで既存のVDSやDVPGの構成はそのままに、NSXセキュリティがアドオンされ、エージェントレスでアンチウィルスを適用したり、脅威検知した際にVDIを自動隔離していく、IPアドレスに依存せずにVDIにアクセスしているユーザIDをベースにした柔軟で適切なアクセス制御などができるようになります。

さいごに

いかがだったでしょうか。NSXセキュリティは、ネイキッドのvSphereやHorizonなどをご利用のVMwareユーザの皆様に、構成はそのままにセキュリティ機能をあっさりとアドオンしてくれる軽量でカンタンな仕組みを提供してくれます。無数のセキュリティ製品を組み合わせて構築して、セキュリティログをつけ合わせて運用していくこれまでのアプローチから、「次期のセキュリティ対策の予算ではVMwareにビルトインされたNSXを使ってみようかな」と思っていただけたら幸いです。次は是非、弊社セミナーなどにお越しいただけますと幸いです。

本記事のリファレンス

• vSphere Distributed Switch の分散セキュリティ
• vSphere Distributed Switch の分散セキュリティのインストール
• vSphere Client からの NSX-T のセキュリティの構成
• Product offerings for VMware NSX-T Data Center 3.2.x (86095) 
• Product Offerings for NSX-T 3.2 Security (87077)

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

〜お知らせ〜

1. VMware の新たな仮想ネットワークソリューションを聞いたみたい！という方はこちら
   → ２０２１年度！「VMware NSX-T Data Center の進化；2021 年度版 VMware NSX-T Data Center 3.2 What’s NEW【オンデマンド】
2. VMware SD-WANに関するより詳細な解説と動態デモ、デザイン、運用イメージについて説明を聞いたみたい！という方はこちら
   → ２０２２年度！ゼロトラストの要は SASE VMware SASE で実現するセキュアなリモートアクセス環境【オンライン開催】
3. VMware でネットワークセキュリティ対策を実現するには？そんな説明を聞いたみたい！という方はこちら
   → ２０２２年度！深刻化するランサムウェアのリスクと攻撃の早期検知によるリスク低減 EDR + NDR で実現する次世代セキュリティ対策とは【オンライン開催】
4. VMware NSX Advanced Load Balancer のメリットやユースケースについて、デモを交えながら詳しく説明を聞いたみたい！という方はこちら
   → ２０２２年度！デモで分かりやすく解説！次世代ロードバランサとは（入門編）～アプライアンス型ロードバランサとの違いを徹底解説～【オンライン開催】

• NSX-T Networking Fundamentals (HOL-2225-01-NET) (日本語ガイド付き）
• NSX SecOps – Foundation (HOL-2226-01-SEC) (日本語ガイド付き）