2017年2月1日水曜日

エージェントレスな DeepSecurity 構成で NSX とポリシーを同期し機能を有効にする方法

概要

エージェントレス構成で DeepSecurity を使う場合に各 VM に機能を割り当てるにはポリシーを作成する必要があります
エージェントレス構成の場合、普通にポリシーを作成するのではなく NSX Manager と連携して NSX のセキリティポリシー側で制御する必要があります
今回は NSX と DeepSecurity のポリシーの連携と実際にポリシーを適用する手順を紹介します
なお前回までエージェントを構築するところまでは完了している体で進めます

環境

仮想環境

  • Nested ESXi 6.0.0
  • vCenter Server Appliance 6.0
  • NSX Manager 6.2.2 Build 3604087

DeepSecurity 環境

  • Microsoft SQL Server 2016
  • DeepSecurity Manager 9.6.4072
  • DeepSecurity Virtual Appliance 9.5.2.2022
  • Ubuntu 16.04 64bit
  • DeepSecurity Agent 9.6.2.7690

NSX Manager とポリシー同期する

まずは DeepSecurity Manager と NSX のセキュリティポリシーを同期させます
コンピュータタブから左メニューで連携している vCenter を選択し右クリックから「プロパティ」を選択します
sync_policy1.png

そして表示されたダイアログの NSX 設定タブを開きその中の「ポリシー同期」のチェックボックスを ON にします
これでポリシーの同期が行われるようになります
sync_policy2.png

セキュリティグループを作成する

次に NSX Manager に移動してセキュリティグループを作成します
左メニューから Service Composer に移動して Security Groups タグを開きます「New Security Group」ボタンから新規でセキュリティグループの作成を行います

セキュリティグループの名前を決定します
sync_policy3.png

Define dynamic membership では特に何も設定しないので次に進みます
sync_policy4.png

Select objects to include では実際にセキュリティグループを割り当てるリソースを選択します
今回は特定の VM に対して割り当ててみます
Object Type のプルダウンから Virtual Machine を選択します
そして表示された VM の一覧から適用する VM を選択し右に移動します
sync_policy5.png

Select objects to exclude では特に何も設定しないので次に進みます
sync_policy6.png

あとは内容を確認して作成できれば OK です
Security Groups の一覧に表示されると思います
sync_policy7.png

セキュリティポリシーを作成する

セキュリティグループは言わばポリシーをどのリソースに割り当てるかのルールです
次に本体となるセキュリティポリシーの作成を行います

セキュリティグループ作成時同様に左メニューから Service Composer に移動します
今度は Security Policies タグを開き「Create Security Policy」ボタンから新規でセキュリティグループの作成を行います

まずはセキュリティポリシーの名前を決定します
sync_policy8.png

Guest Introspection Services で緑のプラスボタンを選択します
するとダイアログが表示されるので以下のように入力、設定します

  • Name・・・win-introspection (何でも OK です)
  • Description・・・空欄 (何でも OK です)
  • Action・・・Apply
  • Service Name・・・Trend Micro Deep Security
  • Service Profile・・・Windows Server 2012
  • State・・・Enabled
  • Enforce・・・Yes

sync_policy9.png

ポイントは Service Name と Service Profile になります
今回の場合は、Windows サーバに対して DeepSecurity の監視を割り当てるので「Windows Server 2012」を選択しました
ここは各自が割り当てる VM のゲスト OS の種類に応じて変更してください
プルダウンを見てみるとわかりますが、いろんなゲスト OS 用のプロファイルが用意されていることがわかると思います

設定できたら次に進みます
sync_policy10.png

Firewall Rules は特に何も設定しないので次に進みます

次に Network Introspection Services ですがここでも緑色のプラスボタンを選択します
ダイアログが表示されるので以下のように入力、設定します

  • Name・・・win-inbound-network-introspection (何でも OK ですが、inbound と入れたほうが良いです)
  • Description・・・空欄 (何でも OK です)
  • Action・・・Redirect to service
  • Service Name・・・Trend Micro Deep Security
  • Profile・・・Windows Server 2012 (Guest Introspection Services 設定時と同様のものを選択すること)
  • Source・・・Any
  • Destination・・・Policy’s Security Groups
  • Service・・・Any
  • State・・・Enabled
  • Log・・・Do not log

sync_policy11.png

sync_policy12.png

ポイントはこの設定を 2 つ作成するという点です
名前で inboud と入れましたがこれと同様でに outbound 用の設定も作成する必要があるようです
inbound 時と異なる設定は Source が Policy’s Security Groups となり Destination が Any になる点です
outbount 時には反転すれば OK です

あとは Service Name と Profile はセキュリティグループ作成時と同じものを選択するようにしてください
sync_policy13.png

あとは内容を確認して作成すれば OK です
sync_policy14.png

セキュリティポリシーをセキュリティグループに割り当てる

作成したセキュリティポリシーをセキュリティグループに割り当てます
こうすることでグループに割り当てたリソースに対してポリシーが適用されることになります

Security Policies タブで「Apply Security Policy」ボタンを選択します

適用したセキュリティグループを選択して OK します
これで NSX Manager で作成したポリシー情報が DeepSecurity Manager 側に連携され、さらに VM にも適用され機能を有効にすることができます
sync_policy15.png

DeepSecurity Manager 側で確認

無事にポリシーが同期され VM に適用されると以下のようなステータスになります
sync_policy16.png

Tips: 不正プログラム対策エンジンがオフラインの場合の対応方法

今回の場合 Windows マシンにポリシーを共有しました
エージェントレスな構成で DeepSecurity を使う場合 Windows では「不正プログラム対策」を使うことができます
しかしポリシーを適用しても「不正プログラム対策がオフライン」となることがあります

その場合 Windows マシンにインストールされている vmware-tools に追加ドライバをインストールする必要があります
方法はいろいろとありますが、今回は vmware-tools のインストールディスクを Windows にマウントしてセットアップウィザードから追加ドライバをインストールする方法を紹介します

まず Web Client でコンソールを開いて VMRC -> Manage -> Reinstall VMware Tools を選択します
installed_nsx_driver1.png

すると特に何も置きないのですが、Windows の D ドライブにインストールディスクがマウントされています
リモートデスクトップなどで接続してマウントされているか確認してみてください
installed_nsx_driver2.png

あとはマウントしたドライブからインストーラを起動するとセットアップウィザードが開始されます
今回は構成を変更するので「変更」を選択します
カスタムセットアップの画面で下のほうに「VMCI ドライバ -> NSX File Introspection ドライバ」という欄があるのでこれをインストールするように変更します
installed_nsx_driver3.png

そしてインストールを完了しましょう
問題なくインストールが完了すれば OK です

ちゃんとドライバインストールされているかどうかは Power shell 上で「fltmc」コマンドを実行すれば OK です
その一覧に vsepflt が含まれていれば追加ドライバのインストールに成功しています
installed_nsx_driver4.png

これでしばらく待っていれば不正プログラム対策のステータスもオンに変わると思います
変わらない場合は NSX Manager からポリシーを再度適用してみてください (DeepSecurity Manager からはできません)

動作確認

今回はセキュリティソフトのテストの定番である eicar というファイルをダウンロードすることで不正プログラム対策が問題なく動作しているか確認します
ポリシーを適用した Windows Server にアクセスしブラウザを開いて以下の URL から eicar ファイルをダウンロードしてみましょう
http://files.trendmicro.com/products/eicar-file/eicar.com

するとダウンロードしたファイル名の後ろにランダムな文字列が付与されウイルスファイルとして自動的に対処されます
enter image description here

また、DeepSecurity Manager のイベントタブの不正プログラム対策イベントの隔離ファイルを確認するとウイルスとして判断されたファイルの一覧が表示されていると思います
sync_policy18.png

最後に

NSX とセキュリティポリシーを同期することでエージェントレス構成な DeepSecurity で使える機能を試してみました
あとは Linux 用のポリシーを作成して適用してみたり他の機能の挙動を確認してみると良いと思います

DeepSecurity に触り始めてようやく機能が動作するところまでたどり着きました
構築時の記事から合わせると結構ちゃんとした教材になったような気もします

結局最終的に感じたのは Web で調べるよりも公式が配布しているドキュメントを見るのが一番だということでした
PDF が 100 ページ以上もあるので初めは非常に毛嫌いしていたのですが、ここまで構築するとドキュメントが一番まとまっていることがわかります
この PDF ドキュメントの P46 からの「NSX 環境での Agent レスによる保護の実施」の項目だけやればよかったのだとあとから気づきました

0 件のコメント:

コメントを投稿