エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
トレンドマイクロ VMwareテクニカルアライアンス担当 栃沢です。
Windows 10環境への移行が進む中でWindows 10 Creators Updateへの対応についてご質問を頂くことが多くなってきております。
仮想デスクトップ環境では、Creators Updateがリリースされた場合にVMware vSphere、VMware NSX、VMware Horizon、VMware Toolsを確認する必要があります。そして、エージェントレス型セキュリティ対策ではさらにDeep Security Virtual Appliance(DSVA)との互換性を意識していく必要があります。今回は各ソリューションが互換性の面でどのような関係性があり、どのようなポイントを確認していけばよいか、順を追って解説したいと思います。
仮想マシンOSがVMware仮想環境で利用できるか確認するポイント
仮想マシンにはポップアップツールであるNotifierを除いてセキュリティ機能を提供するDeep Securityのコンポーネントは導入されません。DSVAによるエージェントレス型セキュリティを提供するためには、仮想マシン側にVMware Tools のVMCIドライバに含まれるNSXファイル自己検証ドライバ(vsepflt)を導入しておく必要があり、NSXファイル自己検証ドライバがフックする情報を基に不正プログラム対策などの機能を提供しています。
詳細は第5回ブログをご覧ください。
VMwareの仮想環境上でどのWindows OSが利用できるかを確認するためには、VMware Tools とOSの互換性をチェックする必要があります。
確認のポイントは以下の2つです。
1) 仮想マシンに導入するOSがVMware Toolsに対応しているかを確認する
VMware Compatibility Guide にて確認することができます。
2) VMware Toolsが利用を予定している vSphere / NSX に対応しているかを確認する
VMware Product Interoperability Matrices にて確認することができます。
ここでのポイントは、該当するWindows OSがサポートするVMware Toolsを確認し、VMware Toolsが利用可能なvSphere、NSXの組み合わせを把握する、という点です。この組み合わせ(=互換性)が満たされていないとVMwareのサポートを受けられなくなる可能性がありますので、必ずチェックをしましょう。
エージェントレス型セキュリティ提供可否を確認するためのDSVA互換性チェック
導入する仮想環境のバージョンが確認できたら、その環境でDSVAが利用可能かを確認します。
DSVAの互換性は、vSphere及びNSXのバージョンに依存します。VMware Toolsとは直接の互換性を持っていません。また、仮想デスクトップ環境において利用されるHorizonとも依存関係はないので意識する必要はありません(もう少し踏み込むとvCenter Server、NSX ManagerがDeep Security Managerと連携できれば、仮想デスクトップ展開ソフトウェアは意識しない)。
以下のサイトにてDSVAがvSphere及びNSXのどのバージョンと互換性があることをDeep Securityのバージョン毎に確認することができます。
Deep Security and VMware compatibility matrix
DSVA利用時のWindows 10 Creators Update の対応について
ここまでの解説を見てお分かりいただけたかと思いますが、DSVA環境における利用可能なOSは直接的にはVMware Toolsのバージョンに依存します。VMware Toolsについては、仮想マシンのOS種別単位で対応が定義されており、Windows 10のCreators Update(RS3、RS4など)のサービスオプションごとの互換性を意識する必要はありません。 対応OSについては、VMware Toolsのリリースノートを参照してください。
[参考情報]VMware HorizonのWindows10のサポート
DSVAとの互換性とは直接関係ありませんが、Horizonによる仮想デスクトップ環境の導入の際にはOSがどのようにサポートしているかを確認する必要があり、よくご質問をいただきますので、その情報もここでご案内しておきたいと思います。
以下のKBにはHorizonのWindows 10のサポートバージョンが記載されていますが、あくまでHorizonの互換性であり、VMware Toolsの対応バージョンは考慮されていませんので上記の互換性の確認を行って対応OSの確認をする必要があります。
https://kb.vmware.com/s/article/2149393
また、Horizon環境のサポートポリシーとして、Windows10サービスオプションが「対象(Targeted)」となっているバージョンについてはTech Preview Supportということで上記KBでもサポートされないステータスとして管理されています。
Microsoftが公開しているWindowsのリリース情報も適宜確認するようにしましょう。
https://www.microsoft.com/ja-jp/itpro/windows-10/release-information
まとめ
仮想マシンのOSの利用できる環境を確認する方法についてご理解いただけたでしょうか?
簡単な互換性の関係をまとめると以下のようになります。
Windows 10を例にここではお話してきましたが、レガシーOS(Windows Server 2003など)の対応も同様に確認することができます。
ただし、VMware、トレンドマイクロそれぞれでレガシーサポートの対応について定義しておりますので、必ずサポートの可否、対応条件および制限事項について事前に確認するようにしましょう。
執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)
【VMware NSXとTrend Micro Deep Securityで実現する仮想化セキュリティの最適化】
-
- Horizon インスタントクローンにも適用可能!仮想デスクトップ環境にフィットしたセキュリティ対策
- VMware NSX + Deep Secuirty連携によるエージェントレスセキュリティとは?
- VMware NSX + Deep Security連携にかかわるコンポーネントと基本構成
- VMware NSXとDeep Securityのユースケースと実現できることとは?
- エージェントレス型ウイルス対策のアーキテクチャ(1)
- エージェントレス型ウイルス対策のアーキテクチャ(2)
- エージェントレス型による侵入防御/Webレピュテーションの実装
- エージェント型とエージェントレス型の使い分けのポイント
- コンバインモードの正しい理解と知っておきたいこと
- エージェントレス型セキュリティ環境におけるWindows 10 Creators Updateの対応
- 分散ファイアウォールと連携したマルウェア検出時の自動隔離
- Cross-vCenter NSX 環境における Deep Security の構成ベストプラクティス
