ビュー:
仮想マシン (VM) を保護する場合、他の種類のコンピュータと同様に Deep Security エージェントをインストールできます。しかし、Deep Security 9.6 以降では、VM を保護するための他の2つの方法があります。
  • Agentレスによる保護 (Virtual Applianceを使用)
  • AgentベースとAgentレスを組み合わせて保護 (コンバインモード)

Agentレスによる保護

不正プログラム対策と変更監視の保護は、Deep Security Agentをインストールせずに提供できます。代わりに、VMにインストールされたVMware Toolsドライバーがセキュリティ処理をDeep Security Virtual Applianceにオフロードできます。
注意
注意
Linux VMでは、Deep Security Virtual ApplianceではなくDeep Security Agentが不正プログラム対策保護を提供します。
注意
注意
Deep Security 9.5以前では、Deep Security AgentをインストールせずにVMを保護するために、Deep Security Virtual Applianceとフィルタドライバを使用していました。フィルタドライバはESXiサーバにインストールされ、ハイパーバイザでネットワークトラフィックを傍受し、アプライアンスに送信するために使用されていました。[VMwareはvShield (VMsafe-NET APIドライバ) をサポートしていないため、古いドライバはDeep Securityでサポートされておらず、削除する必要があります。]
Agentレスによる保護ではApplianceと保護するコンピュータとの間の高速接続が必要なため、コンピュータとApplianceの距離が離れている (リモートESXiサーバまたは別のデータセンターにある) 場合はAgentレスを使用しないでください。
また、vCloud環境でのAgentレス保護の展開も参照してください。

コンバインモード

Deep Security Virtual Applianceでサポートされないその他の保護機能が必要な場合は、各VMにDeep Security Agentをインストールする必要がありますが、引き続きDeep Security Virtual Applianceを使用して一部の保護を提供することができます。これにより、パフォーマンスが向上します。アプライアンスとエージェントを併用することは「コンバインモード」として知られています。
コンバインモードでは、アプライアンスが不正プログラム対策と変更監視を提供します。Deep Security Agentは他の機能を提供します。

協調アプローチのコンバインモードへの変換

  • [協調アプローチ] — Deep Security 9.5では、仮想マシン上のAgentがオフラインの場合、代わりにDeep Security Virtual Applianceから保護機能が提供されます。ただし、各機能についてどちらを使用するかを個別に設定することはできません。
  • [コンバ]>[インモード] — Deep Security 9.6では、それぞれの保護機能について、AgentまたはApplianceのどちらを使用するかを個別に設定できます。ただし、優先する保護ソースがオフラインの場合、もう一方の保護ソースが代わりに使用されることはありません。
Deep Security 10.0以降では、「保護ソース」設定の両方の動作が提供されます。
  • 各機能をAgentとApplianceのどちらから提供するか
  • 優先する保護 (AgentまたはAppliance) を利用できない場合にもう一方を使用するかどうか
したがって、以前の協調アプローチのような動作が必要な場合は、Deep Security 9.6へのアップグレードを避け、代わりにDeep Security 9.5からDeep Security 10.0、そして12にアップグレードすることをお勧めします。

各保護機能をAgentまたはApplianceのどちらから提供するかの選択

コンピュータがアプライアンスまたはエージェントのいずれかによって保護される場合、各保護機能を提供するものを選択できます。
注意
注意
セキュリティログ監視とアプリケーションコントロールには、この設定はありません。VMwareの最新の統合テクノロジでは、これらの機能をDeep Security Virtual Applianceから提供することはできません。
保護ソースを設定するには、VMware vCenterをDeep Security Managerにインポートしてから、[コンピュータエディタとポリシーエディタ][設定]→[一般]に移動します
affinity-settings=72fa3d3a-584a-4bc4-9b65-95f0cd2aaf53.png
各保護モジュールまたはモジュールグループに対して、次のいずれかを選択します。
  • Applianceのみ: Deep Security Virtual Applianceのみが保護を提供します。仮想マシンにAgentがあり、アプライアンスが無効化または削除されている場合でも同様です。
    警告
    警告
    Scanner (SAP) が必要な場合、Applianceは使用しないでください。ScannerにはDeep Security Agentの不正プログラム対策が必要です。
    ヒント
    ヒント
    Agentで不正プログラム対策が有効になっている場合、Anti-malware Solution Platform (AMSP) がダウンロードされてサービスとして起動されます。このサービスが不要な場合は、[不正プログラム対策][Applianceのみ] を選択してください。これにより、アプライアンスが無効化されている場合でも、AMSPサービスが起動されることはありません。
  • Appliance優先: ESXiサーバに対して有効なアプライアンスがあれば、そのアプライアンスから保護を提供します。ただし、アプライアンスが無効化または削除されている場合は、代わりにAgentが保護を提供します。
  • Agentのみ: 有効化されたアプライアンスがある場合でも、Agentからのみ保護を提供します。
  • Agent優先:仮想マシンに有効なAgentがあれば、そのAgentが保護を提供します。ただし、有効なAgentがない場合は、代わりにアプライアンスが保護を提供します。

エージェントによるアクティベーションでvCloud Director環境のコンバインモードを有効にする

vCloud Director仮想マシンのホスト名がDeep Security Managerから解決できない場合は、エージェント開始のアクティベーションを使用してコンバインモードを有効にします。vCloud Director仮想マシンでコンバインモードを有効にするには:
  1. [コンピュータ]に移動し、対象のvCloud Directorコンピュータを右クリックして、[有効化]を選択します。
  2. ターゲットのvCloud Directorコンピュータをダブルクリックし、ポップアップウィンドウで[設定]→[一般]を選択します。[通信方向][Agent/Applianceから開始]に変更します。
    vcloud-direction=6d86b09b-ed6f-4345-9aaa-431f5dcf4862.png
  3. ターゲットのvCloud DirectorコンピュータにDeep Security Agentをインストールし、エージェントをアクティベートしてください。