トレンドマイクロ VMware テクニカルアライアンス担当 栃沢です。
2018年11月に VMware Cloud on AWS が東京リージョンでリリースをされました。
VMware Cloud on AWS のリリースにより、従来オンプレミス環境で vSphere を採用していたユーザはよりパブリッククラウドとの連携を生かした運用を実現する道が開けてきたと思います。
パブリッククラウドの活用にあたってもセキュリティ要素の検討は必ず必要となり、従来のセキュリティ対策との兼ね合いも気になるところでしょう。
トレンドマイクロはすでに VMware Cloud on AWS のユーザとして、当社のサーバセキュリティ製品である Deep Security での連携などをすでに進めています。
今回は VMware Cloud on AWS 環境に対して Deep Security がどのような連携が可能になっているかをご紹介します。
今回ご紹介するこのブログの内容は、トレンドマイクロの VMware マイクロサイトにも転載されています。
マルチクラウド環境に対する Deep Security の位置づけ
Deep Security は統合サーバセキュリティ製品として多くのお客様にご利用をいただいていますが、物理、仮想化環境だけではなくパブリッククラウド、コンテナサービス、サーバレスも含めたマルチクラウド環境への対応を日々目指して開発を継続しています。
そして、Deep Security はシングルコンソールでオンプレミス環境とクラウド環境を一元管理できる仕組みを提供しています。
これによりインフラ環境を問わずにセキュリティレベルを統一していくことが容易となると同時に仮想マシン、インスタンスの新規デプロイ、移行にもシームレスに対応することが可能です。
VMware Cloud on AWS 環境における Deep Security の連携
VMware Cloud on AWS 環境においても Deep Security を連携することが可能になっています。Deep Security Manager(以下DSM)が vCenter Server と連携する仕組みを利用することによってオンプレミスの vCenter Server、VMware Cloud on AWS の vCenter サービスと連携をしてインスタンス情報をリアルタイムに同期します。また、現時点(2018年12月時点)では、VMware Cloud on AWS 上で利用できる保護モジュールは Deep Security Agent(以下DSA)のみとなります。
実際にどのような手順で連携をすればよいかを順を追って解説します。
【VMware Cloud on AWS vCenter への接続準備】
- VMware Cloud on AWS コンソール画面から展開する SDDC を選択して、“OPEN VCENTER” をクリック
- vCenter へのアクセスを許可するための Management Gateway に対するインターネット経由での Firewall アクセスルール、または、オンプレミス環境からの VPN アクセス(vCenter への HTTPS(TCP443)を許可)が設定されていれば連携可能
DSMとvCenter の連携についてもこのポートを利用します。(DSM から vCenter へ HTTPS セッションを利用してリアルタイムに情報連携)○Firewall ルール例
【VMware Cloud on AWS vCenter と DSM の連携設定】
- DSM にアクセスして、[コンピュータ]画面から ”VMware vCenterの追加” を選択
オンプレミスの vCenter Server との接続設定と同様の設定を行います。 - vCenter の Administrator 権限を持つアカウントでアクセス設定
vCenter とのアクセス情報を入力して “次へ” に進むと vCenter へのテストアクセスが実行されます。アクセスができない場合にはエラーとなり、次の設定画面に進めません。
NSX Manager の設定画面はスキップして “次へ” に進みます。 - vCenter からデータセンター配下のホスト、仮想マシン情報が取得されていることを確認して “完了” をクリック
- オンプレミスの vCenter とともに VMware Cloud on AWS のリソース情報が一元管理できていることを確認。
このように Deep Security を利用することによって、オンプレミスも VMware Cloud on AWS の双方の仮想マシンを統合管理し、同一のセキュリティポリシーを適用することが可能になります。
(そのほかにも AWS マネジメントコンソール、Azure ポータルと連携することも可能です。)
マルチクラウド環境への移行が進むにつれて、仮想マシンがどういった環境にあるかに問わず、統一したセキュリティを担保するためには、セキュリティツールがインフラ環境にリアルタイムに連携できることが大前提となります。
そしてリアルタイムに連携できることで、仮想マシンの増減に対しても Deep Security 側で登録を行わなくてもシームレスにセキュリティの適用が可能となり、セキュリティの適用を忘れてしまう、ということも避けられます。
ぜひ、皆さんの環境でもオンプレミスの vCenter、VMware Cloud on AWS の vCenter と Deep Security を連携してみてください。きっと有効性を体感していただけると思います。
執筆者:
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE2課
栃沢 直樹(Tochizawa Naoki)