コンバインモードの正しい理解と知っておきたいこと

トレンドマイクロ VMwareテクニカルアライアンス担当 栃沢です。
前回、DSVAとDSAの使い分けについて解説をしましたが、Deep Security Virtual Appliance（DSVA）で保護しているESXiホスト上にDeep Security Agent(DSA)がインストールされたWindows仮想マシンが配置された場合、Deep Securityでは“コンバインモード”というモードで動作します。
コンバインモードについては、誤解しやすい点もあるので、今回はその正しい理解と抑えておいていただきたい点をまとめてお伝えしたいと思います。

コンバインモードの有効化と状態
コンバインモードを有効にするために必要な設定は特段ありません。対象の仮想マシンが DSVA で保護可能な状態になっており、かつDSA がインストールされていると自動的にコンバインモードによる保護が有効になります。
コンバインモードで動作していることは、Deep Security Manager（DSM）コンソール、DSAがインストールされたWindows OSのタスクトレイから確認することができます。
■Deep Security Managerコンソール

■Deep Security Agentタスクトレイ

コンバインモードのアフィニティルール
コンバインモードでは、機能群ごとにDSA、DSVAどちらの防御コンポーネントで保護を実施するか（保護ソース）選択できるようになっています。
デフォルトでは以下のように動作するように設定されています。

• 不正プログラム対策　　　　　　　　　　　　　　　　　Appliance優先
• Web レピュテーション/ファイアウォール/侵入防御　　　Agent優先
• 変更監視　　　　　　　　　　　　　　　　　　　　　　Appliance優先

DSVAで対応していない機能であるセキュリティログ監視、アプリケーションコントロールは、DSAでの保護となるためコンバインモードのアフィニティルールの設定項目はありません。
また、コンバインモードはDeep Security 9.6から実装された機能ですが、アフィニティルールをデフォルトの設定から変更できるのはDeep Security 10.0以降になります。

機能群毎に選択できるコンポーネントの保護ソースの選択には以下の4つがあります。

• Appliance 優先　：　Appliance 有効化不可時に Agent にてセキュリティ機能を提供
• Agent優先　　　：　Agent 有効化不可時に Appliance にてセキュリティ機能を提供
• Appliance のみ　：　Appliance 有効化不可時に Agent でのセキュリティ機能の移行を行わない
• Agentのみ　　　：　Agent 有効化不可時に Appliance でのセキュリティ機能の移行を行わない

このアフィニティルールの設定は、利用したい機能と仮想マシンに対するDeep Securityの機能利用による負荷を考慮して適宜変更することが可能です。

コンバインモードの保護ソースの変更のトリガー
Appliance優先、Agent優先を選択した場合、選択された保護ソース（DSVAまたはDSA）が無効化された場合に、もう一方の保護ソース（DSAまたはDSVA）に保護機能を移行するためのDSMからポリシーの配信が実行され、保護ソースが変更されます。各機能のステータスにエラーがあった場合などに保護ソースが変更されるようなフェイルオーバー（エラーに備えた冗長化）には対応していませんので、留意してください。

コンバインモード利用にあたって知っておくべきこと
コンバインモードの利用にあたって、知っておいて頂きたい点をいくつか挙げておきたいと思います。

• Appliance優先、Agent優先を選択した場合、前述のとおりDSMからのポリシー配信が実行されます。Appliance優先でAgentに保護ソースが切り替わった場合、該当の機能モジュールがインストールされていない場合、機能モジュールのインストールが行われた後、ポリシーの配信が行われます。コンバインモードの保護ソース変更時にモジュールの自動インストールをさせたくない場合にはあらかじめ機能モジュールをインストールしておくか、Applianceのみを選択する必要があります。
• コンバインモードでは、DSVA による保護を仮想マシン単位で無効化することはできません。
• Deep Security Virtual ApplianceのCPU課金、かつ、侵入防御・ファイアウォール・Webレピュテーションを利用できるライセンスをご購入いただいている場合に限り、DSAで上記の機能を実装することが許諾されています。（vShield Endpoint環境でDSVAを利用していた場合に利用できた機能をDSAにて補完するための措置）ライセンスの詳細はこちらをご覧ください。

まとめ　～　DSVAとDSAを使い分ける上でのポイント
コンバインモードについてご理解をいただけたでしょうか？
少し複雑な部分もありますが、ポイントを抑えてコンバインモードもうまく活用を頂ければと思っております。
コンバインモードについてはこちらのFAQにも記載されておりますので、ご参照ください。

執筆者：
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹（Tochizawa Naoki）

【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】

1. 1. Horizon インスタントクローンにも適用可能！仮想デスクトップ環境にフィットしたセキュリティ対策
   2. VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは？
   3. VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
   4. VMware NSXとDeep Securityのユースケースと実現できることとは？
   5. エージェントレス型ウイルス対策のアーキテクチャ（１）
   6. エージェントレス型ウイルス対策のアーキテクチャ（２）
   7. エージェントレス型による侵入防御/Webレピュテーションの実装
   8. エージェント型とエージェントレス型の使い分けのポイント
   9. コンバインモードの正しい理解と知っておきたいこと
   10. エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
   11. 分散ファイアウォールと連携したマルウェア検出時の自動隔離
   12. Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス