概要
エージェントレス構成で DeepSecurity を使う場合に各 VM に機能を割り当てるにはポリシーを作成する必要があります
エージェントレス構成の場合、普通にポリシーを作成するのではなく NSX Manager と連携して NSX のセキリティポリシー側で制御する必要があります
今回は NSX と DeepSecurity のポリシーの連携と実際にポリシーを適用する手順を紹介します
なお前回までエージェントを構築するところまでは完了している体で進めます
環境
仮想環境
- Nested ESXi 6.0.0
- vCenter Server Appliance 6.0
- NSX Manager 6.2.2 Build 3604087
DeepSecurity 環境
- Microsoft SQL Server 2016
- DeepSecurity Manager 9.6.4072
- DeepSecurity Virtual Appliance 9.5.2.2022
- Ubuntu 16.04 64bit
- DeepSecurity Agent 9.6.2.7690
NSX Manager とポリシー同期する
まずは DeepSecurity Manager と NSX のセキュリティポリシーを同期させます
コンピュータタブから左メニューで連携している vCenter を選択し右クリックから「プロパティ」を選択します
そして表示されたダイアログの NSX 設定タブを開きその中の「ポリシー同期」のチェックボックスを ON にします
これでポリシーの同期が行われるようになります
セキュリティグループを作成する
次に NSX Manager に移動してセキュリティグループを作成します
左メニューから Service Composer に移動して Security Groups タグを開きます「New Security Group」ボタンから新規でセキュリティグループの作成を行います
セキュリティグループの名前を決定します
Define dynamic membership では特に何も設定しないので次に進みます
Select objects to include では実際にセキュリティグループを割り当てるリソースを選択します
今回は特定の VM に対して割り当ててみます
Object Type のプルダウンから Virtual Machine を選択します
そして表示された VM の一覧から適用する VM を選択し右に移動します
Select objects to exclude では特に何も設定しないので次に進みます
あとは内容を確認して作成できれば OK です
Security Groups の一覧に表示されると思います
セキュリティポリシーを作成する
セキュリティグループは言わばポリシーをどのリソースに割り当てるかのルールです
次に本体となるセキュリティポリシーの作成を行います
セキュリティグループ作成時同様に左メニューから Service Composer に移動します
今度は Security Policies タグを開き「Create Security Policy」ボタンから新規でセキュリティグループの作成を行います
まずはセキュリティポリシーの名前を決定します
Guest Introspection Services で緑のプラスボタンを選択します
するとダイアログが表示されるので以下のように入力、設定します
- Name・・・win-introspection (何でも OK です)
- Description・・・空欄 (何でも OK です)
- Action・・・Apply
- Service Name・・・Trend Micro Deep Security
- Service Profile・・・Windows Server 2012
- State・・・Enabled
- Enforce・・・Yes
ポイントは Service Name と Service Profile になります
今回の場合は、Windows サーバに対して DeepSecurity の監視を割り当てるので「Windows Server 2012」を選択しました
ここは各自が割り当てる VM のゲスト OS の種類に応じて変更してください
プルダウンを見てみるとわかりますが、いろんなゲスト OS 用のプロファイルが用意されていることがわかると思います
設定できたら次に進みます
Firewall Rules は特に何も設定しないので次に進みます
次に Network Introspection Services ですがここでも緑色のプラスボタンを選択します
ダイアログが表示されるので以下のように入力、設定します
- Name・・・win-inbound-network-introspection (何でも OK ですが、inbound と入れたほうが良いです)
- Description・・・空欄 (何でも OK です)
- Action・・・Redirect to service
- Service Name・・・Trend Micro Deep Security
- Profile・・・Windows Server 2012 (Guest Introspection Services 設定時と同様のものを選択すること)
- Source・・・Any
- Destination・・・Policy’s Security Groups
- Service・・・Any
- State・・・Enabled
- Log・・・Do not log
ポイントはこの設定を 2 つ作成するという点です
名前で inboud と入れましたがこれと同様でに outbound 用の設定も作成する必要があるようです
inbound 時と異なる設定は Source が Policy’s Security Groups となり Destination が Any になる点です
outbount 時には反転すれば OK です
あとは Service Name と Profile はセキュリティグループ作成時と同じものを選択するようにしてください
あとは内容を確認して作成すれば OK です
セキュリティポリシーをセキュリティグループに割り当てる
作成したセキュリティポリシーをセキュリティグループに割り当てます
こうすることでグループに割り当てたリソースに対してポリシーが適用されることになります
Security Policies タブで「Apply Security Policy」ボタンを選択します
適用したセキュリティグループを選択して OK します
これで NSX Manager で作成したポリシー情報が DeepSecurity Manager 側に連携され、さらに VM にも適用され機能を有効にすることができます
DeepSecurity Manager 側で確認
無事にポリシーが同期され VM に適用されると以下のようなステータスになります
Tips: 不正プログラム対策エンジンがオフラインの場合の対応方法
今回の場合 Windows マシンにポリシーを共有しました
エージェントレスな構成で DeepSecurity を使う場合 Windows では「不正プログラム対策」を使うことができます
しかしポリシーを適用しても「不正プログラム対策がオフライン」となることがあります
その場合 Windows マシンにインストールされている vmware-tools に追加ドライバをインストールする必要があります
方法はいろいろとありますが、今回は vmware-tools のインストールディスクを Windows にマウントしてセットアップウィザードから追加ドライバをインストールする方法を紹介します
まず Web Client でコンソールを開いて VMRC -> Manage -> Reinstall VMware Tools を選択します
すると特に何も置きないのですが、Windows の D ドライブにインストールディスクがマウントされています
リモートデスクトップなどで接続してマウントされているか確認してみてください
あとはマウントしたドライブからインストーラを起動するとセットアップウィザードが開始されます
今回は構成を変更するので「変更」を選択します
カスタムセットアップの画面で下のほうに「VMCI ドライバ -> NSX File Introspection ドライバ」という欄があるのでこれをインストールするように変更します
そしてインストールを完了しましょう
問題なくインストールが完了すれば OK です
ちゃんとドライバインストールされているかどうかは Power shell 上で「fltmc」コマンドを実行すれば OK です
その一覧に vsepflt が含まれていれば追加ドライバのインストールに成功しています
これでしばらく待っていれば不正プログラム対策のステータスもオンに変わると思います
変わらない場合は NSX Manager からポリシーを再度適用してみてください (DeepSecurity Manager からはできません)
動作確認
今回はセキュリティソフトのテストの定番である eicar というファイルをダウンロードすることで不正プログラム対策が問題なく動作しているか確認します
ポリシーを適用した Windows Server にアクセスしブラウザを開いて以下の URL から eicar ファイルをダウンロードしてみましょう
http://files.trendmicro.com/products/eicar-file/eicar.com
するとダウンロードしたファイル名の後ろにランダムな文字列が付与されウイルスファイルとして自動的に対処されます
また、DeepSecurity Manager のイベントタブの不正プログラム対策イベントの隔離ファイルを確認するとウイルスとして判断されたファイルの一覧が表示されていると思います
最後に
NSX とセキュリティポリシーを同期することでエージェントレス構成な DeepSecurity で使える機能を試してみました
あとは Linux 用のポリシーを作成して適用してみたり他の機能の挙動を確認してみると良いと思います
DeepSecurity に触り始めてようやく機能が動作するところまでたどり着きました
構築時の記事から合わせると結構ちゃんとした教材になったような気もします
結局最終的に感じたのは Web で調べるよりも公式が配布しているドキュメントを見るのが一番だということでした
PDF が 100 ページ以上もあるので初めは非常に毛嫌いしていたのですが、ここまで構築するとドキュメントが一番まとまっていることがわかります
この PDF ドキュメントの P46 からの「NSX 環境での Agent レスによる保護の実施」の項目だけやればよかったのだとあとから気づきました
0 件のコメント:
コメントを投稿