VMware NSX Portal | ハイパフォーマンスなセキュリティ対策
2017年も、ますます猛威を振るうサイバー攻撃
サイバー攻撃は増加の一途をたどり、企業をとりまくITセキュリティ環境への脅威はますますエスカレートしています。2017年5月に世界的に猛威を振るったランサムウェアは、150か国まで感染を拡大、イギリスの公共医療機関やドイツの鉄道会社など社会インフラにも甚大な被害を及ぼし、現場は機能停止に陥りました。一連の被害は20万件にも達したと言われています。
※IPA発表
独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」は、組織における情報セキュリティの脅威について、1位に標的型攻撃による情報流出、2位にランサムウェアによる被害をあげています。情報漏えいによる巨額な賠償金や、ランサムウェアによる大規模な業務停止など、事業の継続性に深刻なダメージが発生しているからです。
ますます複雑化していくIT環境に対して有効なセキュリティ対策が求められています。
Kaspersky Security for Virtualization(KSV) Agentlessとは
今回ご紹介するセキュリティソリューション「KSV」は、VMware NSX と連携して仮想環境のセキュリティをより強固なものにします。KSVは VMware NSX の技術を最大限に活用するように設計された製品で、プラットフォームのパフォーマンスにほとんど影響を与えずに、高度なセキュリティ機能を提供します。仮想マシン(VM)の集約率を維持しながら、アンチマルウェアソリューションのメリットを享受できる仮想サーバーと仮想デスクトップ(VDI)を保護する製品です。
従来のセキュリティソリューションとその課題
KSV Agentless & VMware NSX 連携アーキテクチャ
KSVとNSXの連携アーキテクチャ―の特徴は、各仮想マシンにエージェントをインストールすることなく、セキュリティ仮想アプライアンスである「SVM」と「NAB」が一括してセキュリティ機能を提供することです。各仮想マシンと仮想化されたネットワークは、高度な脅威から自動的に保護されます。
仮想マシンにセキュリティエージェントをインストールする必要がないため、仮想化プラットフォームのパフォーマンスへの影響を最小限に抑え、継続的かつ包括的な保護を実現します。
- Security Virtual Machine(SVM)
- 管理サーバーから VMware ESXi へ展開
- SVMが各VMへのスキャンを一括で実施するため、エージェントは不要
- 仮想化システムへのパフォーマンス影響は最小
- 仮想マシンの高密度な集約が可能
- Network Attack Blocker(NAB)
- ウェブトラフィックアナライザー(URLブロック)
- プロトコルベースのネットワーク攻撃防御
特長① 世界中のユーザーから脅威情報を収集
~クラウドレピュテーション~
新しいウイルスが爆発的に誕生している現在、迅速にその対応を行わなくてはなりません。カスペルスキーは世界中4億人以上のユーザーから脅威情報を収集、分析しています。その結果は即座に Kaspersky Security Network(KSN)上の緊急検知データベースに登録され、セキュリティ仮想マシン(SVM)がその結果を迅速に参照します。またレピュテーション技術を WEB URL ブロックだけではなく、ファイルスキャンにも応用しています。この高度なレピュテーション技術によって、ゼロディ攻撃の脅威に対しても、リアルタイムで保護が可能となるのです。
※ゼロディ攻撃・・・ソフトウェアの脆弱性を修正するためのセキュリティ更新プログラムが提供される前に、その脆弱性を狙った攻撃。
特長② 共有キャッシュ機能によるスキャンの高速化
~ファイルスキャンの重複排除~
仮想マシン上の任意ファイルがアクセスされると、そのファイルをスキャンして安全性を確認し、結果を共有キャッシュとしてSVMに保存します。同じファイルが同一仮想ホスト上の別の仮想マシンからアクセスされると、再スキャン不要と判断します。一度スキャンされたファイルは、変更されるか、キャッシュがリセットされる(ウイルス定義DBの更新や、スキャン設定の変更時などに発生)まで、スキャンされません。また、共有キャッシュはSVMのRAMに格納されるため、これらの動作は高速に処理されます。
この共有キャッシュ機能によりリソースの大幅節減が可能となり、特に各仮想マシン上に同一のOSおよびアプリケーションファイルセットが多数存在する仮想デスクトップ環境で効果を発揮します。
これにより、セキュリティレベルを維持した上で、システム負荷を軽減してパフォーマンスを向上させることができます。
マルウェア検知時の仮想マシンの自動隔離
KSVはNSXのセキュリティタグとの統合により、マルウェア検知時の対応を自動化することができます。
KSVの監視下にある仮想マシンにウイルスが検知されると、KSVはセキュリティタグを付与します。すると、NSXセキュリティポリシーが適用され、その仮想マシンは自動的に隔離されます。(あらかじめNSXセキュリティポリシーで分散ファイアウォールの遮断ルールを定義している場合)
このように、KSVとNSXは、セキュリティインシデント対して自動的にリアルタイムに対処し、内部拡散を防ぎます。
Secure VMの自動デプロイ
NSXの自動デプロイ機能と連携し、新たにESXiを導入する際、セキュリティ仮想アプライアンスであるSVMとNABを自動的に配置します。また、セキュリティポリシーも統合され、各仮想マシンに対するセキュリティポリシーもNSXと統合し、自動的に反映されます。
単一の統合管理コンソールを使用することで、仮想化環境、物理環境およびモバイル端末を含むすべての コンピューター資産に対し、一貫性のあるセキュリティポリシーを適用できます。
保護機能のオン/オフ ポリシー制御
KSVの統合管理コンソールは、すべての仮想マシンのセキュリティを、物理環境やモバイル端末上に導入されているカスペルスキーのセキュリティ製品と合わせて一括管理できます。
また、その操作は容易で、管理サーバーのセキュリティポリシー設定から各仮想マシンのセキュリティ機能のオン/オフ設定を簡単に切り替えることができ、ヒューマンエラーによるシステム障害が発生する可能性を低減します。
オンライン・オフラインスキャン
KSVは、たとえパワーオフの仮想マシンに対してもスキャンすることが可能です。※
これはKSVだけの機能で、インフラストラクチャ全体を網羅したセキュリティシステムを実現します。
※NTFSとFAT32の場合。
ポイント
ハイパフォーマンスなセキュリティ対策を効率的に実現
これまで説明してきました通り、KSVは、アンチマルウェアエンジンを、仮想マシンのパフォーマンスに影響を与えることなく利用できるように設計されている製品です。また、NSXとの連携により、セキュリティの運用が効率的に行える点も重要です。
以下にKSVとNSXとの連携のポイントをまとめましたので、ご覧ください。
拡散防止型セキュリティ(タグ利用)
KSVによるウイルス検知時に、NSXにて対象仮想マシンを自動的にネットワークから隔離。
対処後、NSXにて自動的にネットワークに復帰Secure VMの自動デプロイ
NSXポリシーによりSecure VM(ファイルアンチウイルス、ネットワーク攻撃防御)を新規仮想化プラットフォームに自動でデプロイ
セキュリティ機能のオン/オフをポリシーで制御
NSXポリシーによりファイルアンチウイルス機能とネットワーク攻撃防御機能の使用是非を各単位で制御(特定の仮想マシンやグループ)
オンライン・オフラインスキャン
オフラインの仮想マシンをスキャン可能
仮想化プラットフォーム要件とライセンスについて
<仮想化プラットフォーム要件>
- VMware ESXi 6.0 U2、5.5 Update U3b
- VMware vCenter Server 6.0 U2、VMware vCenter Server 5.5 U3e
- VMware NSX 6.2.4
※最新のシステム要件はこちらを参照ください。
<ライセンスと機能について>
利用できるKSV機能 | NSX for vShield Endpoint (無償ライセンス) |
NSX Standard | NSX Advanced | NSX Enterprise |
---|---|---|---|---|
ファイル アンチウイルス (自動隔離なし) |
〇 | 〇 | 〇 | 〇 |
ファイル アンチウイルス (自動隔離あり) |
× | × | 〇 | 〇 |
ネットワーク 攻撃防御 |
× | × | 〇 | 〇 |
次回は、Juniper QFX5100 連携による高品質なアンダーレイネットワークについてご紹介します↓