パートナー NSX TIPS & Information セキュリティ ネットワーク

VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化(7)

エージェントレス型による侵入防御/Webレピュテーションの実装

トレンドマイクロでVMwareテクニカルアライアンスを担当している栃沢です。
前回はエージェントレス型ウイルス対策を実現するために必要となるVMware NSXのサービス設定とDeep Securityとの連携について解説を行いました。
この連携を行うことで、ウイルス対策以外にも侵入防御(IDS/IPS)、Webレピュテーションなどの機能をエージェントレスで提供することも可能となります。
ウイルス対策は仮想マシン上でアクセス(読み取り/書き込み/コピーなど)をした「ファイル」に対して処理を行っています。一方、Deep Securityにおける侵入防御、Webレピュテーションは仮想マシンが送受信する「パケット」に含まれる情報に対して処理を行っており、ウイルス対策などの「ファイル」に対する処理とは異なる仕組みによってセキュリティ機能を提供しています。今回はそのアーキテクチャについて解説していきます。

NSX ManagerとGuest Introspectionの役割は変わらない
ウイルス対策に限らず、Deep Security Virtual Appliance(DSVA)を利用する場合には、NSXサービスが必要となりますので管理プレーンとしてのNSX Manager、制御プレーンとしてのGuest Introspectionが必要となります。(前回も記述)

  • NSX Manager
    NSX Manager はすべての NSX コンポーネントの管理を実施する管理サーバとして動作します。vCenter Server とは別の仮想アプライアンスとして動作しますが、NSXが提供するサービスは vCenter Server から NSX Manager を経由して管理されます。
  • Guest Introspection
    Deep Securityなどサードパーティ製品がセキュリティサービスなどを提供する際に必要な仮想アプライアンスとして保護対象となるESXiホストに配信されます。DSVAによる不正プログラム対策、変更監視、侵入防御、Webレピュテーションなどのセキュリティ機能をエージェントレスで提供するために必要な仮想マシン毎のNSXセキュリティポリシーの管理を行います。

ネットワークイントロスペクションサービス
実際に仮想マシンが送受信する通信を検査するためには、ハイパーバイザーからDSVAに対してパケットを転送(リダイレクト)をさせるが必要があります。そのためにはNSXセキュリティポリシーで必要なルールを設定する必要があります。パケットのリダイレクトにはネットワークイントロスペクションサービスを設定します。

ネットワークイントロスペクションサービスで「サービスのリダイレクト」を指定して、サービス名から「Trend Micro Deep Security」を選択することにより、NSXセキュリティポリシーが適用された仮想マシンに対する通信をDSVAに対して転送(リダイレクト)されるようになります。リダイレクトさせる通信は送信元・送信先・サービスで制限すること可能となるため、仮想マシンの送信方向、受信方向それぞれにネットワークイントロスペクションサービスのルールを設定することが必要です。

パケット処理の流れとDeep Securityでの処理
仮想マシンのVNICからのパケットはハイパーバイザー上の仮想スイッチ上のdvFilterによって、NSXセキュリティポリシーに設定したネットワークイントロスペクションのルールに則ってリダイレクトされます。
ネットワークイントロスペクションを理解する上で重要なコンポーネントがdvFilterです。

  • dvFilterはネットワークイントロスペクションが有効化されると機能します。
  • dvFilterにはスロット(Slot)が複数用意されており、リダイレクトするサービス毎にSlotが割り当てられます。Slotには入力パスと出力パスが設定されています。
  • Slot 0-3はVMware用に予約されており、分散ファイアウォールを有効にした場合にはSlot 2が割り当てられます。
    DSVAをはじめとする3rd Party製品はSlot 4-11までに割り当てられます。
  • 通信はSlot 0から若い番号から順次有効なSlotにリダイレクトされます。Slotに割り当てられたサービスを入れ替えることで適用されるサービスの順番を入れ変えることも可能です。


実際にどのようにパケットが処理されているのか、上の図を例に見ていきましょう。

  1. 仮想マシンからの通信をパケットはdvFilterが分散ファイアウォールへのSlot の入力パス経由でリダイレクトされます。
  2. 分散ファイアウォールは設定されたファイアウォールポリシーに従ってパケットの制御を行います。
  3. 分散ファイアウォールを通過したパケットは、Slotの出力パス経由でdvFilterに戻され、ネットワークイントロスペクションサービスの設定に基づき、次に割り当てられているDeep SecurityのSlotにリダイレクトされます。
  4. リダイレクト先となるDSVAはDeep Securityセキュリティポリシーに従って、ファイアウォール、侵入防御、Webレピュテーションなどの機能によりパケットを検査し、必要な処理を行います。
  5. DSVAでの検索も通過したパケットはSlotの出力パス経由で再びdvFilterに戻され、仮想スイッチから外部のネットワークへ送信されます。

上記では仮想マシンからの送信トラフィックを例に記載をしましたが、仮想マシンへの受信トラフィックも同様にSlotの若い番号のサービスから順次パケットはリダイレクトされていきます。

まとめ
VMware NSXのパケット処理の仕組みをセキュリティ機能の観点から解説をしました。
DSVAはネットワークイントロスペクションサービスがリダイレクトするパケットに対してDeep Securityの機能を提供するように設計されていることがご理解いただけたのではないでしょうか。
VMware NSX環境でDSVAを利用する場合には、ファイアウォール機能はNSX分散ファイアウォールで実装して、Deep Securityのファイアウォール機能はOFFにしておくことを推奨しております。ファイアウォールのようなパケットヘッダーの処理を高速に行う処理は、仮想アプライアンスとして提供されるDSVAでソフトウェア処理するよりも、ハイパーバイザーで処理される分散ファイアウォールのほうが高速に処理することを期待できます。
シンプルなアクセス制御は分散型で高速に処理できるNSXで行い、パケットの内部を検査するような侵入防御やWebレピュテーションをDeep Securityで実施いただくことでサーバ環境のセキュリティを効率的に強化することも検討いただければと思います。

執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

    1. Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
    2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
    3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
    4. VMware NSXとDeep Securityのユースケースと実現できることとは?
    5. エージェントレス型ウイルス対策のアーキテクチャ(1)
    6. エージェントレス型ウイルス対策のアーキテクチャ(2)
    7. エージェントレス型による侵入防御/Webレピュテーションの実装
    8. エージェント型とエージェントレス型の使い分けのポイント
    9. コンバインモードの正しい理解と知っておきたいこと
    10. エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
    11. 分散ファイアウォールと連携したマルウェア検出時の自動隔離
    12. Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス