VMware NSX Data Centerのエディションの１つである「NSX Security ライセンス」は、2021年 NSX-T 3.2.0 と同時に新規リリースされ、NSXのエディションに加わりました。この「NSX Security ライセンス」を徹底解説してみたいと思います。

「NSX Security ライセンス」にはセキュリティを中心にしたNSX-Tの機能がご利用いただけます。「これまでのNSX-Tライセンス」、そして今回の「NSX Security ライセンス」、それぞれに対して、どの機能が使えるのかを確認するには、機能一覧で紹介したこちらのブログをご参考ください。エディションと機能の対応表を紹介しております。

ご注意

2023/2 追記 : NSX の最新版である「NSX 4.0」のリリースに伴うライセンスに関する変更がございます。NSX 4.0 のライセンスについては、こちらの記事をご確認ください。

新規での製品ご検討の場合、
なるべく上記の最新版（２０２３年版）の情報をご確認いただけたらと思います。

「NSX Security ライセンス」

VMware NSX-T 3.2 の「NSX Security ライセンス」では、以下の６個のライセンスが存在しています。これまでのNSX-Tのコンポーネントを利用しつつ、ライセンスとして「NSX Security ライセンス」というものが登場しました。「従来からのNSX-Tマネージャ」を使いつつ、このライセンスに対応したNSX-Tのセキュリティ機能がご利用いただけるような、セキュリティユースケースに特化したライセンスになっています。

この記事ではこの６個のNSXライセンスをもとに、ライセンスに対応したNSX-T 3.2 機能のマッピングや機能解説の情報を紹介したいと思います。

NSX Security ライセンス

NSX Distributed Firewall
NSX Distributed Firewall with Threat Prevention
NSX Distributed Firewall with Advanced Threat Prevention
NSX Gateway Firewall – VM版 / ISO版
NSX Gateway Firewall with Threat Prevention – VM版 / ISO版
NSX Gateway Firewall with Advanced Threat Prevention – VM版 / ISO版*

*NSX Gateway Firewall with Advanced Threat Prevention – ISO版のみ今後のリリースで販売開始予定

「NSX Security ライセンス」では、「前半３つの分散」と「後半３つのGW（境界）」でライセンスが独立しており、ライセンスごとに対応する NSX-Tの機能も分けられています。

以下のように表にして、各種ライセンスで利用できる主要機能をまとめておりますので、概要の理解にお役立ていただけたけたら幸いです。

また、「NSX-T 3.2.1 で正式対応となった機能（ゲートウェイ IDPS とゲートウェイ TLSインスペクション : v3.2.0 では Tech Preview）」に関連したライセンス（「NSX Gateway Firewall with Threat Prevention – VM版/ISO版」）は、 3.2.1 リリースにあわせて販売開始となっています。今回解説をできるだけシンプルにするため、いくつかの機能は解説から割愛しておりますので、予めご了承ください。こちらの記事も、できる限りそうした更新情報をリアルタイムに反映できるようメンテナンスに努めたいと思います。また、これらの「NSX Security ライセンス」は、単品で購入したり、一部はこれまでの NSXにあった「ADVANCED」・「ENTERPRISE PLUS」といったエディションのアドオンとして同時購入することができますので、購入方法につきましては弊社営業または弊社販売パートナー様までお問合せいただけたらと思います。

「NSX Security ライセンス」のユースケース

「NSX Security ライセンス」は、「NSX-Tのセキュリティ機能だけが利用できるライセンス」とご理解ください。以下のように左から「３つの分散」と「３つのGW（境界）」、そして引き続き NSX Data Center の３タイプのNSXライセンスが現在提供されています。

ここからは、「NSX Security ライセンス」のユースケースをシンプルにご紹介します。

「NSX Distributed Firewall ライセンス」

「前半の３つの分散」のライセンスでは、NSX Managerをデプロイして、ESXi Hostでマイセグや分散IPS、そしてNDRをやりたい際にフィットするライセンスです。

NSX Distributed Firewall
NSX Distributed Firewall with Threat Prevention
NSX Distributed Firewall with Advanced Threat Prevention

こうした「NSX Distributed Firewall ライセンス」のユースケースは、「vSphere基盤にNSX-Tのセキュリティ機能だけを利用したい、セキュリティレベルを向上させたい」と言ったセキュリティ対策に特化したものになっています。
NSX-Tのセキュリティ機能だけを利用したい場合、このライセンスだけでご利用いただけます。これまでの NSXにあった「PROFESSIONAL」・「ADVANCED」・「ENTERPRISE PLUS」といったエディションと同時に利用いただく必要はありません。（詳細はこちら）

オーバーレイネットワーク不要で利用できますので、vSphereの構成を変更せずに「VDSがあればFWやIPS、NDRと言ったセキュリティをアドオンできる」、これがなりよりのメリットです。

また、これまでVDSをご利用でなかった vSphere Standard の場合、なんとvSphere Standard と「NSX Security ライセンス」の組み合わせで、VDSがご利用いただけます（詳細はこちら）。
これにより、vSphere Standard環境もここでご紹介する機能がご利用いただけますので、vSphere基盤のセキュリティレベルを格段に高めることができるんです。

「NSX Gateway Firewall ライセンス」

また、「後半３つのGW（境界）」のライセンスは、NSX Managerと NSX Edgeをデプロイして、NSX T0/T1 Gatewayで境界ファイアウォール機能を動作させる「ファイアウォールアプライアンス」のような境界セキュリティを導入したい場合にフィットするライセンスです。

NSX Gateway Firewall – VM版 / ISO版
NSX Gateway Firewall with Threat Prevention– VM版 / ISO版 (v3.2.1より販売）
NSX Gateway Firewall with Advanced Threat Prevention– VM版 / ISO版

こうした「NSX Gateway Firewall ライセンス」のユースケースは、「データセンター基盤に対してNSX-Tの境界ファイアウォール機能だけを利用したい、境界型を活用してセキュリティレベルを向上させたい」と言ったセキュリティ対策に特化したものになっています。
NSX-Tの境界型セキュリティ機能だけを利用したい場合、このライセンスだけでご利用いただけます。これまでの NSXにあった「PROFESSIONAL」・「ADVANCED」・「ENTERPRISE PLUS」といったエディションと同時に利用いただく必要はありません。

１点だけ補足として、「NSX Gateway Firewall ライセンス」にVM版と ISO版の２タイプの提供となっています。それぞれのタイプで、ライセンスの購入方法（算出ロジック）が異なりますので、ここで解説したいと思います。

NSX Edgeを仮想アプライアンスとしてデプロイしてGateway Firewallを利用する場合は、ESXi に「Edge VM」をデプロイして利用しますので、ライセンス購入数(Core数)は Edge VMに搭載するvCPU数となります。そこで、ライセンス名にVMと表現されています。

NSX Edgeを物理アプライアンスとしてデプロイしてGateway Firewallを利用する場合は、「EDGEベアメタル」ということで x86サーバに NSX Edge OS (ISOイメージ）をインストールして利用利用しますので、ライセンス購入数(Core数)は x86サーバに搭載するコア数となります。そこで、ライセンス名にISOと表現されています。

「NSX Security ライセンス」に含まれるNSX-Tのセキュリティ機能

「NSX Security ライセンス」にはセキュリティを中心にしたNSX-Tの機能がご利用いただけます。どの機能が実際に利用可能かを確認するには、機能一覧で紹介したこちらのブログをご参考ください。エディションと機能の対応表を紹介しております。

VMware NSXライセンスと機能の総まとめ – ２０２２年版

また、以下のデータシートやKBにも対応表が紹介されています。上記の機能表ではカバーされていない詳細機能につきまして、こちらも合わせてご参考ください。

NSXライセンスのデータシート（英語版）
NSX Distributed Firewall ライセンスのデータシート（英語版）
Product offerings for VMware NSX-T Data Center 3.2.x (86095)
Product Offerings for NSX-T 3.2 Security (87077) :
NSX-T 3.2 License Type (3.2で利用できるアドオンや過去のライセンス/エディションが網羅されています）

また、「NSX Security ライセンス」に含まれる特徴的なNSX-Tのセキュリティ機能は以下のブログでそれぞれ丁寧に解説されておりますので、ぜひご参考ください。

分散ファイアウォール

L7アプリケーションファイアウォール、RDSH

分散 IDS / IPS

VMware NSX NDR

NSX INTELLIGENCE

VMware vRealize Log Insight for NSX (vRLI)

vRLI の活用例 : NSX-T Data Center NSX 分散ファイアウォールとは – パート２
vRLI の活用例 : マイクロセグメンテーションの必要性、より頑丈なマイクロセグメンテーションの作り方

よくいただくご質問

Q – 「NSX-T ライセンス」 ならびに 「NSX Security ライセンス」を用いてVDSは利用できますか？
A – NSX-Tデータセンターライセンスを用いてVDS7.0が利用できます。NSX Security ライセンスでは、「NSX Distributed Firewall」、「NSX Distributed Firewall with Threat Prevention」、「NSX Distributed Firewall with Advanced Threat Prevention」を用いてVDS7.0が利用できます。これにより、たとえば vSphere Standard と NSXライセンスの組み合わせにより VDS7.0を展開することができます。手順の詳細はこちらのブログを参考ください。

VDSポートグループ (vSphere 6.7以降) で分散FW など NSX セキュリティ機能を利用する場合は、「NSX Security ライセンス」で対応しています。PROFESSIONAL などの 「NSX-T ライセンス」では対応していませんので、「NSX-T ライセンス」では引き続きNSXポートグループ（以前から NSX-T がサポートしている NSX Managerで作成するセグメント/ポートグループのこと）をご利用ください。
PROFESSIONAL などの 「NSX-T ライセンス」でも対応されることになりました。こちらの KB にある以下の表の内容のように、VDSポートグループ (vSphere 6.7以降) で分散FW など NSX セキュリティ機能を利用する「Distributed Firewall for VDS Switchports」が PROFESSIONAL 以上でもご利用いただけます。

Q – vRealize Log Insight(vRLI) は「NSX Security ライセンス」に含まれていますか？

A – 含まれております。My VMwareで NSX Securityライセンスで vRLI のデプロイイメージが入手できるようになっています。

Q – Trendmicro社のDeep Securityの Agentless AVとDFW連携はこのエディションで利用できますか？

A – 含まれておりません。「ADVANCED」・「ENTERPRISE PLUS」で利用いただけます。こちらのデータシートの「Integration with distributed firewall (Active Directory, VMware AirWatch®, endpoint protection and third-party service insertion)」の項目をご確認ください。

Q – 「NSX Security ライセンス」では、NSX Managerのデプロイは必須なのでしょうか？

A – NSX-T Managerのデプロイは必須になります。「NSX Security ライセンス」で利用できるNSX-Tのセキュリティ機能は、NSX-T Managerで設定を行い利用します。

Q – 「NSX Distributed Firewall ライセンス」と「NSX Gateway Firewall ライセンス」を同じNSX Managerで使うことって可能なのでしょうか？

A – 可能です。両方のライセンスキーをNSX Managerにいれていただき、両方の機能を同時にご利用いただけます。

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

〜お知らせ〜

※NSX-T Data Center、NSX Advanced Load Balancer、および VMware SD-WAN について入門編から中級編まで各種セミナーも定期開催しております。より詳細についてご興味を持っていただけたお客さまはこちらも併せてご参加をご検討ください。

各種オンラインセミナーの開催日時はこちらから https://vmware-juku.jp/seminar/

VMware の新たな仮想ネットワークソリューションを聞いたみたい！という方はこちら

→ ２０２１年度！「VMware NSX-T Data Center の進化；2021 年度版 VMware NSX-T Data Center 3.2 What’s NEW【オンデマンド】
VMware SD-WANに関するより詳細な解説と動態デモ、デザイン、運用イメージについて説明を聞いたみたい！という方はこちら

→ ２０２２年度！ゼロトラストの要は SASE VMware SASE で実現するセキュアなリモートアクセス環境【オンライン開催】
VMware でネットワークセキュリティ対策を実現するには？そんな説明を聞いたみたい！という方はこちら

→ ２０２２年度！深刻化するランサムウェアのリスクと攻撃の早期検知によるリスク低減 EDR + NDR で実現する次世代セキュリティ対策とは【オンライン開催】
VMware NSX Advanced Load Balancer のメリットやユースケースについて、デモを交えながら詳しく説明を聞いたみたい！という方はこちら

→ ２０２２年度！デモで分かりやすく解説！次世代ロードバランサとは（入門編）～アプライアンス型ロードバランサとの違いを徹底解説～【オンライン開催】

※VMwareでは、各種製品をクラウド上でご評価いただくHands-on Labs（HOL）という仕組みを無償でご提供しています。今回ご紹介した各種ソリューションへの最初の一歩の入り口としてぜひご活用ください。

おすすめのHOLメニューはこちらから

NSX-T Networking Fundamentals (HOL-2225-01-NET) (日本語ガイド付き）
NSX SecOps – Foundation (HOL-2226-01-SEC) (日本語ガイド付き）

「NSX Security ライセンス」

*NSX Gateway Firewall with Advanced Threat Prevention – ISO版 のみ今後のリリースで販売開始予定

「NSX Security ライセンス」のユースケース

「NSX Distributed Firewall ライセンス」

「NSX Gateway Firewall ライセンス」

「NSX Security ライセンス」に含まれるNSX-Tのセキュリティ機能

VMware NSXライセンスと機能の総まとめ – ２０２２年版

よくいただくご質問

〜お知らせ〜

関連記事

全通信ログを集めるとここまでできる！VMware 通信フロー解析サンプル集

NSX VPC と vCenter が連携したマルチテナントアクセスコントロール

NSX IPsec 設定徹底ガイド （AWSとのIPsec編）

*NSX Gateway Firewall with Advanced Threat Prevention – ISO版のみ今後のリリースで販売開始予定

NSX IPsec 設定徹底ガイド（AWSとのIPsec編）