日本地域向けの製品は、地域固有のポリシーに基づいて取り扱われます。詳細については、Trend Micro Deep Security Virtual Appliance の製品サポート終了に関するご案内をご覧ください。
Trend Micro Deep SecurityはVMwareと緊密に連携し、Agentレスによるセキュリティをハイパーバイザレベルで提供します。このセキュリティを提供するのがDeep
Security Virtual Applianceです。Applianceは、NSX Managerを使用してクラスタレベルで配置され、同じESXiホスト上の仮想マシンを保護します。
このページのトピック:
Deep Security Virtual Applianceの機能
検索キャッシュ
検索キャッシュを使用すると、複数のコンピュータを同じファイルで検索する場合に、不正プログラム検索の結果を使用できます。元のゲスト仮想マシンを検索する際、Applianceは検索対象ファイルの属性を追跡します。他の仮想マシンを検索する際には、各ファイルの追跡した属性を比較します。属性が同じ後続のファイルを再び完全に検索する必要がないため、全体的な検索時間が短縮されます。ほぼ同じイメージの仮想デスクトップインフラストラクチャ
(VDI) などでは、検索キャッシュを使用することでパフォーマンスに与える影響を大幅に削減できます。
スキャンストームの最適化
同時に多数の検索が実行されると、検索ストームが発生し、パフォーマンスが低下します。通常、検索ストームは、大規模なVDI環境で発生します。不正プログラム検索を実行する場合、ウイルス検索アプライアンスは
検索キャッシュの 機能を使用して、検索の嵐の最中にリソースの使用状況を最適化できます。
管理の簡素化
一般に、Deep Security Virtual Applianceを各ESXiホストに1つずつ配置することは、複数のVMにDeep Security Agentを配置するより簡単です。NSXを使用している場合は、新しいESXiホストがクラスタに追加されると、NSX
Managerによって自動的にDeep Securityサービスが配信されるため、さらに管理の手間を節約できます。
また、Virtual Applianceを使用するとネットワークの柔軟性も向上します。Deep Security Agentは、それぞれがネットワークに接続してDeep
Security ManagerとRelayを解決する必要があります。Deep Security Virtual Applianceを使用した場合、このネットワーク接続が必要なのはVirtual
Applianceのみで、各仮想マシンへの接続は必要ありません。
インフラストラクチャと仮想マシンが別々のチームによって管理される場合があります。Virtual Applianceを使用すると、ハイパーバイザレベルで保護を実施して各仮想マシンを保護できるため、インフラストラクチャチームは保護を追加するために仮想マシンにアクセスする必要がありません。
VMware環境のVirtual ApplianceおよびNSXの展開
Deep Security Virtual Applianceを使用してゲスト仮想マシンを保護する場合は、VMware NSX Data Center for vSphere
(NSX-V) またはNSX-T Data Centerを使用する必要があります。NSX-VおよびNSX-Tのライセンスには、いくつかのタイプがあります。これらのライセンスの種類は、それぞれがサポートするDeep
Securityの機能とともに、次の表に示されています。
 |
注意Deep Security Virtual Applianceでサポートされるサポート対象の機能とサブ機能の詳細については、Deep Security Virtual Appliance (11.0エージェントが組み込まれたNSX)を参照してください。
|
|
Deep Security Virtual Appliance環境
|
||||||||
|
NSX for vSphere (NSX-V) 6.4.x
|
NSX for vSphere (NSX-V) 6.4.x
および
NSX-T 3.x
|
|||||||
|
標準
または
NSX for vShield Endpoint (無料)
|
詳細
|
Enterprise
|
NSX Data Center Standard
または
NSX for vShield Endpoint (無料)
|
NSX Data Center Professional
|
NSX Data Center Advanced
|
NSX Data Center Enterprise Plus
|
NSX Data Center for Remote Office Branch Office
|
|
|
✔1
|
✔1
|
✔1
|
✔1
|
✔1
|
✔1
|
✔1
|
✔1
|
|
|
✔1
|
✔1
|
✔1
|
✔1
|
✔1
|
✔1
|
✔1
|
✔1
|
|
|
X
|
✔
|
✔
|
X
|
X
|
✔
|
✔
|
✔
|
|
|
X
|
✔
|
✔
|
X
|
X
|
✔
|
✔
|
✔
|
|
|
X
|
✔
|
✔
|
X
|
X
|
✔
|
✔
|
✔
|
|
|
X
|
X
|
X
|
X
|
X
|
X
|
X
|
X
|
|
|
X
|
X
|
X
|
X
|
X
|
X
|
X
|
X
|
|
1 Windowsゲスト仮想マシンでのみ使用可
機能がアプライアンスでサポートされていない場合 ([X]の), それは、エージェントを通じて調達することができます。Virtual Applianceの機能を補うためにエージェントをインストールすることを、コンバインモードと呼びます。
コンバインモードを検討する場合、以下が主要なポイントとなります。
-
管理: Deep Securityには、さまざまなオーケストレーションツール (Chef、Puppetなど) を使用してDeep Security Agentのインストールをスクリプト化できる、インストールスクリプトが用意されています。インストールスクリプトを使用するとAgentを簡単にインストールでき、Agentの有効化およびポリシーの割り当ても可能です。インストールスクリプトを使用することで、VMware環境にAgentをインストールする際の手動操作や管理コストを減らすことができます。
Deep Security Virtual Appliance環境を設定する方法の詳細については、アプライアンスを配信する (NSX-T 3.x)か、アプライアンスを配信する (NSX-V)
エージェントのみを使用したVMwareの配置
VMware環境をVirtual ApplianceやNSXなしで保護したい場合、各VMにDeep Security Agentを展開することで実現できます。このシナリオでは、すべての保護がエージェントによって提供されるため、Deep
Security Virtual Applianceは必要ありません。Deep Security Agentを使用することで、Deep Securityの主な機能である不正プログラム対策、変更監視、ファイアウォール、侵入防御、Webレピュテーション、セキュリティログ監視、およびアプリケーションコントロールをすべて利用できます。さらに、エージェントには以下の特徴があります。
-
軽量 (Smart Agent)。指定した保護モジュール( 不正プログラム対策 および 変更監視など)のみが、マネージャで設定したポリシーに従ってインストールされます。さらに、Deep Securityには「推奨設定の検索」と呼ばれる機能があり、これを使用すると、保護している特定のワークロードに必要なルールだけを割り当てることができます。
-
Windowsクライアントには不正プログラム対策検索キャッシュが含まれており、頻繁にアクセスされる以前に検索されたファイルのハッシュが格納されているため、再スキャンする必要はありません。
Agentをインストールするため、トレンドマイクロではさまざまなオーケストレーションツール (Chef、Puppetなど) で使用できるインストールスクリプトを提供しています。手動でAgentをインストールすることもできます。
追加情報
-
トレンドマイクロとVMwareのウェブサイト: https://www.trendmicro.com/VMware/