NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

Deep Security の概要

特徴

Deep Security Virtual Appliance(DSVA)が VMware ハイパーバイザーと連携し、各仮想マシンにセキュリティ対策ソフトをインストールすることなく、アンチウィルス対策機能を提供する。

  1. 各仮想マシンごとのソフトインストールが不要
  2. セキュリティ対策時は共有リソースを使用するため、消費リソースを節約できる。*1
  3. 各種コンポーネントはDSVAのみに配信されるため、各マシンの容量を節約できる。

f:id:FriendsNow:20200626214824p:plain:w500
出典:VMware Horizon環境での不正プログラム対策のベストプラックティス

Deep Security と VMware NSX の連携

VMware NSX の分散ファイアウォールと連携することで、感染した仮想端末を自動で隔離し、感染拡大を防止することが可能*2
Deep Security 12.0 から NSX-T と連携可能となりました。NSX-V との主な相違点は以下のとおりです。
・仮想アプライアンスとしての Guest Introspection が廃止され、ESXi ホストに導入される Ops Agent が必要な機能を提供
・NSX の管理は vCenter Server ではなく、NSX-T の NSX Manager による管理へ変更
・各仮想マシンの NSX サービスステータスも、vCenter Server ではなく NSX Manager による管理へ変更
・NSX Manager を3台構築することが必要となり、DSM からの登録は NSX Manager Cluster VIP を設定することが推奨
f:id:FriendsNow:20200626224028p:plain:w350

NSX-T 環境における Deep Security の配置

DSVA を配信する際に、以下の設定を行う必要があります。

トランスポートゾーン
DSVA を配信したいクラスタに展開される仮想ネットワーク

トランスポートノード
NSX-T においてトラフィック転送を司るノード
トランスポートゾーンを展開したい ESXi ホスト(クラスタ)を指定

トランスポートノードプロファイル
トランスポートノードとして指定された ESXi ホスト(クラスタ)に対してトランスポートゾーンやそれに紐づくアップリンクポート、物理ポートなどを規定するためのプロファイル

N-VDS(NSX Virtual Distributed Switch)
トランスポートノードでスイッチング機能を実行する NSX ソフトウェアコンポーネント、トランスポートノードプロファイルの中でアップリンクポートや ESXi ホストの物理 NIC などを設定
f:id:FriendsNow:20200626223854p:plain:w600

出典:Deep Security 12.0 VMware NSX-T環境におけるエージェントレス型セキュリティの実装概要

以上

*1:DSVA がウィルス検索処理を実行する。

*2:標的型攻撃対策として有効