ビュー:
アプライアンスの展開前のタスクを完了した後、NSX Data Center for vSphere (NSX-V) にアプライアンスを展開する準備が整いました。以下の手順に従ってください。
新しいOSの脆弱性から保護するためにDeep Security Virtual Applianceをアップグレードすることもできます。

手順1: Deep Security Managerにアプライアンスパッケージをインポートします

アプライアンスを配信する前にのタスクを完了したら、アプライアンスZIPをDeep Security Managerにインポートする準備ができました。
ヒント
ヒント
アプライアンスZIPをインポートする代わりに、OVFファイルをURLの場所に配置して、NSXがダウンロードする速度を速めることができます。詳細については、アプライアンスOVFの場所を構成するを参照してください。
  1. Deep Security Virtual Applianceパッケージをダウンロードしてください。バージョン要件はシステム要件で確認してください。
    複数のバージョンのアプライアンスをインポートできます。マネージャは最新のパッケージを選択します。
  2. Deep Security Managerで、[管理]→[アップデート]→[ソフトウェア]→[ローカル]に移動します。
  3. [インポート]をクリックして、パッケージをDeep Security Managerにアップロードします。
    インポート時に、Deep Security Managerは仮想アプライアンスVMのOSと互換性のあるエージェントも自動的にダウンロードおよびインポートします。このエージェントは、64ビットRed Hat Enterprise Linux用のDeep Security Agentと同じ保護モジュールを持っています。
  4. 別の埋め込みエージェントを指定する場合は、[管理]→[システム設定]→[更新]に移動し、[Virtual Applianceの配置]を探します。デフォルトでは、[Virtual Applianceの配置]オプションは[利用可能な最新バージョン (推奨)]に設定されています。これにより、マネージャはVirtual Applianceを最新のインポートされた埋め込みエージェントを使用するようにアップグレードすることを示します。必要に応じてこの設定を変更してください。

ステップ2: Deep Security ManagerにvCenterを追加する

VMware vCenterの追加の指示に従ってください。
完了後:
  • ゲストVMがDeep Security Managerに表示されます。
  • Trend Micro Deep SecurityサービスがNSX-Tに登録されています。

手順3: ESXiサーバの準備

NSX Advanced EditionまたはNSX Enterprise Editionを使用する場合は、ネットワークトラフィックの監視に必要なドライバをインストールして、ESXiサーバを準備する必要があります。この処理はクラスタ上で実行します。
別のエディションのNSXを使用している場合は、このセクションをスキップしてください。
  1. vSphere Web Clientで、[ホーム]→[ネットワーキングとセキュリティ]→[インストール]→[ホストの準備]に移動します。
    host-preparation=7ed6f8d7-ddef-485f-a1c3-f7483f922cbc.png
  2. Deep Securityで保護するNSXクラスタを [クラスターとホスト] リストから見つけて、[インストールステータス] 列で [インストール] をクリックします。インストールが完了すると、ドライバのバージョンが [インストールステータス] 列に表示されます。
    host-prepared=78a033c6-11e8-4c68-9338-be5a8973771a.png
    以上でESXiホストの準備が完了しました。ホストの準備に関するより詳しい手順については、VMwareのドキュメントを参照してください。

手順4: Guest Introspectionをインストールする

不正プログラム対策や侵入防御など、ファイルベースでの保護対策を仮想マシンに対して行うには、Guest IntrospectionサービスをESXiサーバにインストールする必要があります。
ゲストイントロスペクションサービスは、ファイルイントロスペクション(vsepflt)ドライバとネットワークイントロスペクション(vnetflt)ドライバの2つのドライバで構成されます。
警告
警告
不正プログラム対策および侵入防御は、Guest Introspectionをインストールしないと機能しません。
  1. vSphere Web Clientで、[ホーム]→[ネットワーキング & セキュリティ]→[インストール]に移動し、[Service Deployments]タブをクリックします。
    VMwareサービスの展開
  2. 緑色のプラスアイコン (plus-green=37d26b92-e9c4-4175-b110-61b14912a175.png) をクリックしてください。
    [ネットワークとセキュリティサービスを展開する]ウィンドウが表示されます。
  3. [ゲストインストロスペクション] を選択し、[次へ] をクリックします。
    service-deployments-select-endpoint=9bce7bbd-17f5-4494-89d2-062a14bca222.png
  4. 保護するESXiサーバおよび仮想マシンを含むクラスタを選択し、[次へ] をクリックします。
    service-depl-endpoint=ee801b59-13a5-4b7e-95f8-745a0a2be2f2.png
  5. データストア、NSXクラスタで使用する分散ポートグループ、およびIP割り当ての方法を選択し、[次へ] をクリックします。
    service-select-storage-guest=99137ebd-d144-4cae-97bb-899a3295a78a.png
  6. 設定を確認し、[完了]をクリックしてください。
    service-complete=b0b98d25-724c-4424-9aff-1ab7136dec32.png
    ESXiサーバにGuest Introspectionサービスがインストールされます。この処理には数分かかることがあります。完了すると、[インストールステータス] が「Succeeded」になります。最新のステータスを表示するには、vSphere Web Client画面の更新が必要なことがあります。
    vSphere Clientの更新

手順5: Deep Security Virtual ApplianceをNSX-Vにインストールする

  1. vSphere Web Clientで[ホーム]→[ネットワーキングとセキュリティ]→[インストール]→[サービスの展開]に移動します。
  2. 緑色のプラス記号 (plus-green=37d26b92-e9c4-4175-b110-61b14912a175.png) をクリックします。
    services-add=12f3d2e6-dedf-45d4-b17d-a9cb039b8ca1.png
  3. 表示された新しいウィンドウで、[Trend Micro Deep Security] サービスを選択し、[次へ] をクリックします。このサービスが表示されない場合は、vCenterがDeep Security Managerにまだ追加されていない可能性があります。詳細については、手順2: Deep Security ManagerにvCenterを追加するを参照してください。
    services-add-trend=8f35a672-5382-424b-a407-020f7390732c.png
  4. [完了]をクリックします。
    配信が完了すると、クラスタ内のネットワークとセキュリティサービスの配信のリストに、Trend Micro Deep Securityサービスが表示されます。
    services-ds-and-gi=58a33ab0-c100-4f7d-ac3c-48eac5d8503d.png

手順6: NSXセキュリティグループとポリシーを作成する

開始するには、Deep Security Virtual Applianceで保護する仮想マシンを含むNSXセキュリティグループを作成します。
  1. vSphere Web Clientで、[ホーム]→[ネットワーキングとセキュリティ]→[サービスコンポーザー]→[セキュリティグループ]に移動します。
  2. [新しいセキュリティグループ](nsx-sec-grp=5caa4f49-f9df-4886-88a5-308189d88fd1.png) をクリックしてください。
    nsx-new-sec-grp=830e1c71-6896-4d9e-bf1c-d99e2799038a.png
  3. [Define dynamic membership:: このグループのメンバーシップをフィルタ条件に基づいて制限する場合は、その条件を入力します。
    nsx-new-sec-grp-dyn=ac9954b6-0e5e-4cef-8cc5-a00fb928ac09.png
  4. 含めるオブジェクトを選択します。
    NSXセキュリティグループのオブジェクトを追加または削除する方法は、多数あります。ここでは、保護対象のESXiホストと仮想マシンを含むNSXクラスタを追加します。[含めるオブジェクトを選択] のオプションで、[オブジェクトの種類] メニューの [クラスター] を選択し、保護対象の仮想マシンを含むNSXクラスタを [選択したオブジェクト] 列に移動します。
    nsx-new-sec-grp-cluster=5a026f67-3d1f-4d9d-972e-728423180b53.png
    注意
    注意
    VMが複数のセキュリティグループに含まれている場合、Deep Security Managerで[コンピュータ]に移動してVMの名前を検索すると、検索結果に複数回表示されます。詳細については、ホストが複数のNSXセキュリティグループにある場合、コンピュータページに重複したホストレコードが表示されるを参照してください。
  5. [完了] をクリックして新しいセキュリティグループを作成し、[セキュリティグループ] タブに戻って新しいセキュリティグループが表示されることを確認します。
    nsx-new-sec-grp-cluster-done=0aefc6b6-2659-492a-99a7-361d52750b37.png
次に、NSXセキュリティポリシーを作成します。
  1. vSphere Web Clientで[Home]→[Networking and Security]→[Service Composer]→[Security Policies]に移動します。
  2. [新しいセキュリティポリシー]をクリックしてください。
    nsx-new-sec-pol=df7b747c-7a07-4e1a-9605-c3f5561365d0.png
  3. [Guest Introspection Services: 不正プログラム対策または侵入防御モジュールを使用している場合は、Guest Introspection Servicesを設定します。
    警告
    警告
    不正プログラム対策および侵入防御は、Guest Introspectionをインストールしないと機能しません。
    緑色のプラス記号 (plus-green=37d26b92-e9c4-4175-b110-61b14912a175.png) をクリックして[エンドポイントサービス]を追加します。Endpointサービスの名前を指定し、次のように設定します。
    • 処理:を適用
    • サービス名: Trend Micro Deep Security
    • Service Profile: [デフォルト (EBT)]を選択します。これは、Deep Security Managerでイベントベースのタスクを実行するように設定されたプロファイル設定です。
    • ステータス: 有効
    • 施行する: はい
    nsx-new-sec-pol-gi=b36352a2-58ba-4dda-950a-a3abbbf71b30.png
    [OK]をクリックし、次に[次へ]をクリックします。
  4. ファイアウォールルール: 変更を加えないでください。[次へ]をクリックしてください。
  5. Network Introspection Services: Network Introspection ServicesはNSX AdvancedおよびEnterpriseでのみ利用可能で、Webレピュテーション、ファイアウォール、または侵入防御モジュールを使用している場合にのみ設定する必要があります。NSXセキュリティポリシーにNetwork Introspectionサービスを2つ追加します。1つは送信トラフィック用でもう1つは受信トラフィック用です。
    1. 最初に、送信用のサービスを追加します。[Network Introspection Services] オプションで、緑色のプラス記号をクリックして新しいサービスを作成します。[ネットワークイントロスペクションサービスを追加] 画面で、サービスの名前を指定し (「Outbound」という語句を含めることを推奨)、次のように設定します。
      • 処理: Redirect to service
      • サービス名: Trend Micro Deep Security
      • Service Profile: を選択[デフォルト (EBT)]
      • ソース: Policy's Security Groups
      • 送信先: すべて
      • サービス: 任意
      • ステータス:有効
      • ログ記録: ログを記録しない
        nsx-new-sec-pol-ni-out=d3546f61-f09f-4afb-9f81-03f44e5f8ee0.png
    2. 次に、受信用のサービスを追加します。[Network Introspection Services] オプションで、緑色のプラス記号をクリックして新しいサービスを作成します。[ネットワークイントロスペクションサービスを追加] 画面で、サービスの名前を指定し (「Inbound」という語句を含めることを推奨)、次のように設定します。
      • [Redirect to service:] はい
      • サービス名: Trend Micro Deep Security
      • Service Profile: を選択[デフォルト (EBT)]
      • ソース: すべて
      • 送信先: Policy's Security Groups
      • サービス: 任意
      • ステータス:有効
      • ログ記録: ログを記録しない
        nsx-new-sec-pol-ni-in=8135f40b-7488-4584-9752-4c25bb5714b4.png
    3. [ネットワーク検査サービスを追加]ウィンドウで[OK]をクリックし、次に[完了]をクリックして[新しいセキュリティポリシー]ウィンドウを完了して閉じます。
    これで、Deep Security用のNSXセキュリティポリシーが作成されました。
最後に、作成したNSXセキュリティポリシーを、作成したNSXセキュリティグループに関連付けます。
  1. vSphere Web Clientの[ホーム]→[ネットワーキング & セキュリティ]→[サービスコンポーザー]ページの[Security Policies]タブに留まります。
  2. 新しいセキュリティポリシーを選択したら、[セキュリティポリシーを適用]アイコン (apply-vmw-policy=c967bdee-6127-4b90-b50c-a6652f55e818.png) をクリックしてください。
  3. [セキュリティグループにポリシーを適用] 画面で、保護する仮想マシンが含まれているセキュリティグループを選択し、[OK] をクリックします。
    nsx-apply-sec-pol-to-grp=0bf32935-38a6-40e9-8df3-e039a73037b8.png
    これで、NSXセキュリティグループの仮想マシンにNSXセキュリティポリシーが適用されました。
これで、NSXセキュリティグループとポリシーの作成が完了しました。これらのNSXセキュリティグループに追加されたVMはDeep Security Managerでアクティベートされ、 Deep Securityポリシーが割り当てられます。

手順7: NSX-Vで有効化を準備する

アクティベーションを準備するには、方法1,2、または3を使用できます。
どの方法を選択するか迷っていますか?こちらの情報が役立ちます:
  • 一部のメソッドは一部のNSXバージョンではサポートされていません。詳細については、以下の表を参照してください。
  • 方法1: この方法では、システム内で新しく作成されたVMは自動的にアクティブ化され、ポリシーが割り当てられます。
  • 方法2: この方法では、新規および既存のVMが指定されたNSXセキュリティグループに移動されると、自動的にアクティブ化され、ポリシーが割り当てられます。
  • 方法 3: この方法では、新規および既存のVMが指定されたNSXセキュリティグループに移動されると、アクティベートされてポリシーが割り当てられます。これは方法 2 に似ています。ただし、方法 2 とは異なり、Deep SecurityポリシーはDeep Securityのイベントベースのタスクではなく、VMware UIを通じて割り当てられます。
Deep Security Virtual Appliance環境
NSX for vSphere (NSX-V) 6.4.x
NSX for vSphere (NSX-V) 6.4.x
方法
方法
または
NSX for vShield Endpoint (無料)
詳細
Enterprise
NSX Data Center Standard
NSX Data CenterProfessional
NSX Data CenterAdvanced
NSX Data CenterEnterprise Plus
NSX Data Center forRemote OfficeBranch Office
すべてのライセンスタイプ
方法 1
方法 2
X
1
1
X
X
 1 1 1
方法 3
X
1
1
X
X
 1 1 1
1 VMwareのNetwork Introspection Serviceが必要です。
• 次のソフトウェアの組み合わせが必要です: Deep Security Manager FR 2019-12-12 (ビルド 12.5.494) 以降と Deep Security エージェント Linux FR 2020-04-02 (ビルド 12.5.0-814) 以降。

方法1: コンピュータの作成イベントベースタスクを作成する

以下の指示はタスクベースです。イベントベースタスクの詳細については、NSX環境における自動ポリシー管理を参照してください。
  1. Deep Security Managerで、上部にある[管理]をクリックします。
  2. 左側で[イベントベースタスク]をクリックします。
  3. メイン画面で、[新規]をクリックします。
  4. [イベント] ドロップダウンリストから [コンピュータの作成 (システムによる)] を選択します。[次へ] をクリックします。
  5. [コンピュータの有効化]を選択し、5分に設定します。
  6. [ポリシーの割り当て]を選択し、ドロップダウンリストからポリシーを選択します。例えば、[Windows Server 2016]。矢印をクリックして子ポリシーを表示できます。[次へ]をクリックします。
  7. イベントベースのタスクがトリガーされる条件を指定します。この条件を追加してください:
  8. イベントベースのタスクがトリガーされる条件をさらに制限する条件を追加します。例えば、すべてのWindows VMにWindowsというプレフィックスを含む命名規則がある場合、次のように設定します:
    [コンピュータ名]Windows* に一致します
    [次へ] をクリックします。
  9. [名前]フィールドに、割り当てたポリシーを反映するタスクの名前を入力します。例えば、Activate Windows Server 2016
  10. [タスクの有効化] を選択し、[完了] をクリックします。
  11. 割り当てを計画している各Deep Securityポリシーごとに、追加のイベントベースタスクを作成します。イベントベースタスクは、[コンピュータの作成 (システムによる)]のイベントタイプを持ち、コンピュータをアクティブにしてポリシーを割り当てるように構成する必要があります。
    イベントベースタスクを設定して、新しく作成されたVMにポリシーをアクティブ化および割り当てるようにしました。VMが作成されるとすぐに、すべての[コンピュータの作成 (システムによる)]イベントベースタスクがレビューされます。タスクの条件が満たされると、タスクがトリガーされ、VMがアクティブ化され、関連するポリシーが割り当てられます。

方法2: NSXセキュリティグループの変更イベントベースタスクを作成する

以下の指示はタスクベースです。イベントベースタスクに関する詳細情報については、NSX環境における自動ポリシー管理を参照してください。
まず、[有効化]イベントベースのタスクを作成または変更します。
  1. Deep Security Managerで、上部にある[管理]をクリックします。
  2. 左側で[イベントベースタスク]をクリックします。
  3. メインペインで、[<your_vCenter_name>を有効化]というイベントベースのタスクを探します。それが存在する場合もあれば、存在しない場合もあります。
  4. [有効化]イベントベースのタスクが存在する場合は、それをダブルクリックし、以下の表を確認して、適切に構成されていることを確認してください。存在しない場合は、[新規]をクリックしてウィザードを実行し、以下の表に準拠していることを確認してください。
  5. 複数のvCenterサーバーをマネージャに追加した場合は、追加の[有効化]イベントベースタスクを作成してください。
下の表の設定は表示されている順序と異なる場合があります。
アクティベートイベントベースのタスクを設定するには、...
宛先...
名前
[条件]の下に割り当てられたアクションとvCenterを反映するタスクの名前。例えば、Activate your_vCenter_name>
イベント
[NSXセキュリティグループの変更]
[NSXセキュリティグループの変更]イベントは、マネージャがデータプレーン (Deep Security Virtual Appliance) から通知を受信したときにトリガーされます。
タスクの有効化
有効化済み。
コンピュータの有効化
5 分。
ポリシーの割り当て
ポリシー例:[Windowsデスクトップ]。矢印をクリックして子ポリシーを表示できます。
条件
イベントベースのタスクがトリガーされるときに制限するための必須条件:
  • [vCenter名]<your_vCenter_name> に一致します
トリガーをさらに制限するためのオプション条件の例:
  • [Appliance保護が利用可能][True]に一致します。
  • [Appliance保護が有効化済み][False]に一致します。
  • [NSXセキュリティグループ名].+(つまり [任意]) に一致します
次に、[無効化]イベントベースのタスクを作成または変更します。
  1. Deep Security Managerのメインペインで、[<your_vCenter_name>を無効化]というイベントベースのタスクを探します。それが存在するかどうかはわかりません。
  2. [無効化]イベントベースのタスクが存在する場合は、それをダブルクリックして、以下の表を確認し、正しく構成されていることを確認してください。存在しない場合は、[新規]をクリックしてウィザードを実行し、以下の表に従ってください。
  3. 複数のvCenterサーバーをマネージャに追加した場合は、追加の[無効化]イベントベースタスクを作成してください。
下の表の設定は表示されている順序と異なる場合があります。
無効化イベントベースのタスクを設定するには、...
宛先...
名前
[条件]の下に割り当てられたアクションとvCenterを反映するタスクの名前。例えば、Deactivate your_vCenter_name>
イベント
[NSXセキュリティグループの変更]
[NSXセキュリティグループの変更]イベントは、マネージャがデータプレーン (Deep Security Virtual Appliance) から通知を受信したときにトリガーされます。
タスクの有効化
有効化済み。
コンピュータの無効化
有効化済み。
条件
  • [Appliance保護が有効化済み][True]に一致します。
  • [NSXセキュリティグループ名]^$(つまり なし) に一致します
  • [vCenter名]<your_vCenter_name>に一致します
イベントベースタスクを設定してVMをアクティブ化しました。タスクの条件が満たされると、タスクがトリガーされ、VMがアクティブ化され (関連するポリシーが割り当てられます)。

方法3: Deep SecurityポリシーをNSX-Vと同期する

次の手順はタスクベースです。ポリシー同期の詳細については、Deep SecurityポリシーのNSXとの同期を参照してください。
開始するには、Deep Security Managerを設定します。
  1. Deep Security Managerにログインします。
  2. Deep Security Manager のすべてのポリシーが NSX と同期される前に一意の名前を持っていることを確認してください。すべてのデフォルトのポリシーには一意の名前があります。
  3. 上部で、[コンピュータ]をクリックします。
  4. 左側で、同期を有効にしたいvCenterを右クリックし、[のプロパティ]を選択します。
  5. [NSX設定]タブで[Deep SecurityポリシーとNSXサービスプロファイルを同期する]を選択します。[OK]をクリックします。
次に、ポリシーがvSphereにロードされていることを確認します。
  1. vSphere Web Client ホームページで、[ネットワーキングとセキュリティ] ボタンをクリックします。[NSXホーム] が表示されます。
  2. 左側で[サービス定義]をクリックします。
  3. メインペインで、[サービス]タブの下にある[Trend Micro Deep Security]を右クリックし、[設定を編集]を選択します。
  4. メインペインで、[管理]タブを選択し、その下で[プロファイル構成]を選択します。
  5. Deep Securityポリシーがロードされていることを確認します。ポリシーは、同じ名前を持つ個別のNSXプロファイル設定として表示されます。各プロファイル設定には、P1、P2、P3のような「P」から始まるIDを指定します。「P」はDeep Securityポリシーに基づいていることを示します。
    nsx-profile-configs=b857cd5e-24c9-48f9-81ab-fea5cc366db4.png
    これで、 Deep SecurityポリシーがNSXのプロファイル設定として追加されました。
最後に、セキュリティグループとポリシーを再設定します。
  1. 手順6: NSXセキュリティグループとポリシーを作成に戻り、手順をもう一度実行します。ただし、今回は残りの手順で調整を行います。
  2. 複数のNSX セキュリティグループを作成します。
  3. 複数のNSXセキュリティポリシーを作成します。ポリシーごとに、Guest Introspection ServicesおよびNetwork Introspection Services (受信および送信の両方)[Service Profile]を、ロードしたばかりのDeep Securityポリシーのいずれかに設定します。
  4. NSXセキュリティポリシーをNSXセキュリティグループに関連付けます。

手順8: 有効化とポリシーの割り当てを開始する

仮想マシンの有効化とポリシーの割り当ての準備が完了しました。
  • 方法1を選択した場合は、vCenterを手動で同期する必要があります。Deep Security Managerに移動し、左側のvCenterを右クリックして、[今すぐ同期]を選択します。これで、既存の仮想マシンが保護されました。
  • 方法2または3を選択した場合、すべてのVMをアクティベートし、ポリシーを自動的に割り当てる必要があります。確認するには、次の手順を参照してください。

手順9: 仮想マシンが有効化されて、ポリシーが割り当てられていることを確認する

確認するには:
  1. Deep Security Managerで、上部にある[コンピュータ]をクリックします。
  2. 左側で[コンピュータ]→[<your_vCenter>]→[Virtual Machines]を展開します。
  3. [TASK(S)][STATUS]の列を確認してください。(表示されていない場合は、上部の[列]をクリックして追加してください。)[TASK(S)]列は[有効化中]を示し、VMは[管理対象外 (不明)]ステータスから[管理対象外 (エージェントなし)]ステータス、そして[管理対象 (オンライン)]ステータスに移動するはずです。VMが[VMware Toolsがインストールされていない]ステータスに移動することがありますが、これは一時的です。
  4. [ポリシー]列を確認して、正しいDeep Securityポリシーが割り当てられていることを確認してください。
Deep Security Virtual Applianceをデプロイし、それでVMを保護しました。

次の手順 (新しい仮想マシンを追加する方法)

以下の手順に従って、新しいVMをシステムに追加し、Deep Securityで保護する方法を学びましょう。
方法1 (コンピュータ作成イベントベースのタスクを作成する) を選択した場合、新しいVMを追加するには:
  • vCenterで新しいVMを作成します。これにより[コンピュータの作成 (システムによる)]イベントベースのタスクがトリガーされ、新しいVMにポリシーがアクティブ化されて割り当てられます。
新しいVMを追加するには、方法2 (NSXセキュリティグループ変更イベントベースのタスクを作成) を選択した場合:
  • VMを作成するか、VMをNSXセキュリティグループのいずれかに移動します。これにより、[NSXセキュリティグループの変更]イベントベースのタスクがトリガーされ、新しいVMにポリシーが適用されます。
新しいVMを追加するには、方法3 (Deep SecurityポリシーをNSXに同期) を選択した場合:
  • VM を NSX セキュリティ グループのいずれかに作成または移動します。これにより、新しい VM にポリシーが有効化および割り当てられます。