ビュー:
注意
注意
Deep SecurityポリシーのNSXへの同期を有効にしている場合、[NSXセキュリティグループの変更] EBTを使用する必要はありません。ポリシーの同期に関する情報については、Deep SecurityポリシーとNSXの同期を参照してください。
NSX環境の仮想マシンのセキュリティ設定は、仮想マシンのNSXセキュリティグループの変更に基づいて自動的に変更できます。セキュリティ設定の自動化は、[NSXセキュリティグループの変更]イベントベースのタスクを使用して行われます。
仮想マシンはNSXセキュリティグループ、NSXセキュリティグループはNSXセキュリティポリシー、NSXセキュリティポリシーはNSXサービスプロファイルに、それぞれ関連付けられます。
nsx-sec-structure=875cf8af-9fbb-434e-91ab-0a866454319f.png

「NSXセキュリティグループの変更」イベントベースタスク

Deep Securityには、特定の条件を持つ特定のイベントが検出されたときにアクションを実行するように構成できるイベントベースタスク (EBT) があります。[NSXセキュリティグループの変更] EBTは、VMが属するNSXセキュリティグループに変更が検出された場合に、VMの保護設定を変更できるようにするために存在します。
注意
注意
[NSXセキュリティグループの変更] EBTは、[デフォルト (EBT)] NSXサービスプロファイルに関連付けられたNSXセキュリティグループの変更のみを検出します。同様に、VMは多くのグループやポリシーに関連付けられる場合がありますが、Deep Securityは[デフォルト (EBT)] NSXサービスプロファイルに関連付けられたグループやポリシーに関わる変更のみをモニタし、報告します。
そのタスクを変更するには、Deep Security Managerで[管理]→[イベントベースタスク]に移動します。
[NSXセキュリティグループの変更]EBTは、次のいずれかのイベントが発生した場合に開始されます。
  • [デフォルト (EBT)] NSXサービスプロファイルに間接的に関連付けられたNSXグループに仮想マシンが追加された場合。
  • [デフォルト (EBT)] NSXサービスプロファイルに関連付けられたNSXグループから仮想マシンが削除された場合。
  • [デフォルト (EBT)]NSXサービスプロファイルに関連付けられたNSXポリシーがNSXグループに適用された。
  • [デフォルト (EBT)]NSXサービスプロファイルに関連付けられたNSXポリシーがNSXグループから削除された。
  • NSXポリシーが[デフォルト (EBT)]NSXサービスプロファイルに関連付けられた場合。
  • NSXポリシーが[デフォルト (EBT)]NSXサービスプロファイルから削除された場合。
  • [デフォルト (EBT)]NSXサービスプロファイルに関連付けられたNSXグループの名前が変更された場合。
変更によって影響を受ける仮想マシンごとにイベントがトリガされます。

タスクを実行する条件

次の条件を[NSXセキュリティグループの変更]イベントベースタスクに適用して、処理を実行する前にテストすることができます。
  • コンピュータ名: ゲストVMのホスト名。
  • ESXi名: ゲストVMが実行されているESXiのホスト名。
  • フォルダ名: ESXiフォルダ構造にあるゲスト仮想マシンのフォルダ名。
  • NSXセキュリティグループ名: 変更されたNSXセキュリティグループの名前。
  • プラットフォーム: ゲストVMのOS。
  • [vCenter名]; ゲストVMが属するvCenterの名前。
  • [ネットワーク接続]Appliance保護が利用可能:: 仮想マシンがホストされているESXi上にDeep Security Virtual Applianceがあり、仮想マシンを保護できます。仮想マシンの状態が有効化済みになっているかどうかは問いません。
  • [ネットワーク接続]Appliance保護が有効化済み: Deep Security Virtual Applianceを使用して、有効化されている仮想マシンをホストしているESXi上の仮想マシンを保護できます。
  • [ネットワーク接続]最後に使用されたIPアドレス: VMコンピュータの現在または最後に使用された既知のIPアドレスです。
これらの条件およびイベントベースタスクの概要については、イベントベースタスクの作成を参照してください。
[NSXセキュリティグループ名]条件は、[NSXセキュリティグループの変更]イベントベースのタスクの変更に明示的に適用されます。
プロパティが変更された、仮想マシンが属しているNSXセキュリティグループに一致するJava正規表現を受け付けます。2つの特別なケースが考慮されます:
  • 任意のグループへのメンバーシップの一致。この場合、推奨される正規表現は ".+" です。
  • どのグループにも属していない場合。この場合、推奨される正規表現は "^$" です。
他の正規表現としては、特定のグループ名または部分名 (複数のグループに一致) などがあります。
注意
注意
この条件に適合するグループのリストには、[デフォルト (EBT)] NSXサービスプロファイルのポリシーに関連付けられたグループのみが含まれます。

実行可能な処理

仮想マシンが属しているNSXセキュリティグループへの変更を検出したときに、仮想マシンに対して次の処理を実行できます。
  • [ネットワーク接続]コンピュータの有効化: Deep Security Virtual ApplianceによるDeep Securityによる保護を有効化します。これは、VMがDeep Securityで保護されたNSXセキュリティグループに移動されたときに使用します。
  • [ネットワーク接続]コンピュータの無効化::Deep Security Virtual ApplianceによるDeep Securityによる保護を無効化します。これは、VMをDeep Securityで保護されたNSXセキュリティグループから移動する際に使用します。Deep Securityで保護されたNSXセキュリティグループからVMを移動する際にこの操作が実行されないと、VMが保護されなくなるため、アラートが発生します。
  • ポリシーの割り当て: Deep Securityポリシーを仮想マシンに割り当てます。
  • [ネットワーク接続]Relayグループの割り当て: Relayグループを仮想マシンに割り当てます。

vCenterがDeep Security Managerに追加されたときに作成されるイベントベースタスク

NSX vCenterをDSMに追加する際に、2つのイベントベースタスクを作成できます。[vCenterを追加する]ウィザードの最後のページにはチェックボックスが表示されます。選択すると、このオプションにより2つのイベントベースタスクが作成されます。1つは保護が追加されたときにVMをアクティブにするタスクで、もう1つは保護が削除されたときにVMを非アクティブにするタスクです。
最初のイベントベースタスクは、次のように設定されます。
  • [名前:] <vCenter Name>.を有効化します。この<vCenter Name>は、vCenterプロパティの [名前] フィールドに表示される値です。
  • [ネットワーク接続]イベント:: NSXセキュリティグループの変更
  • [ネットワーク接続]タスクの有効化:: 真
  • [ネットワーク接続]処理::5分間の遅延後にコンピュータを有効化します
  • 条件:
    • [vCenter名:] EBTはvCenter固有のため、<vCenter Name>.が一致している必要があります。
    • [ネットワーク接続]Appliance保護が利用可能:: はTrueです。同じESXiにアクティブ化されたDeep Security Virtual Applianceが必要です。
    • [ネットワーク接続]Appliance保護が有効化済み:: False。無効化されている仮想マシンにのみ適用されます。
    • [ネットワーク接続]NSXセキュリティグループ::「+」。1つ以上のDeep Securityグループのメンバーである必要があります。
このイベントベースタスクに関連付けられたアクションを変更できます。例えば、Deep Securityによる保護ポリシーを適用したり、別のRelayグループを割り当てたりすることができます。既存のイベントベースタスクのアクション (およびその他のプロパティ) は、Deep Security Managerの[管理]→[イベントベースタスク]ページで編集できます。
2つ目のイベントベースタスクは、次のように設定されます。
  • [名前:] <vCenter Name>.を無効化します。この<vCenter Name>は、vCenterプロパティの [名前] フィールドに表示される値です。
  • [ネットワーク接続]イベント:: NSXセキュリティグループの変更
  • タスクの有効化:
  • [ネットワーク接続]処理::コンピュータを無効化します
  • [ネットワーク接続]条件::
    • [vCenter名:]→[vCenter Name]。イベントベースタスクはvCenter固有のため、一致する必要があります。
    • [ネットワーク接続]Appliance保護が有効化済み:: True。有効化されている仮想マシンにのみ適用されます。
    • [ネットワーク接続]NSXセキュリティグループ::「^$」。グループのメンバーであってはなりません。
      注意
      注意
      このイベントベースのタスクはデフォルトで無効になっています。vCenterのインストールの完了後に、必要に応じて有効化したりカスタマイズしたりできます。
注意
注意
複数のイベントベースタスクが同一条件で開始される場合、タスクはタスク名のアルファベット順に実行されます。

Deep Security ManagerからvCenterを削除する

vCenterをDeep Security Managerから削除すると、次の条件を満たすすべてのイベントベースタスクが無効化されます。
  1. [vCenter名]の条件は、削除するvCenterの名前に一致します。
    注意
    注意
    これは完全一致である必要があります。複数のvCenter名に一致するイベントベースタスクは、無効化されません。
  2. イベントベースタスク[イベントの種類]は「NSX Security Group Changed」です。他のイベントタイプのイベントベースタスクは無効になっていません。
vCenterをDeep Security Managerから削除するには、まずNSXからDeep Securityのアーティファクトを削除する必要があります。NSX環境からDeep Securityをアンインストールし、Deep Security ManagerからvCenterを削除する手順については、NSX環境からDeep Securityをアンインストールするを参照してください。