vSphere基盤のネットワークとセキュリティを仮想化するソリューションである VMware NSX ですが、セキュリティ機能の一つとして IDS/PS 機能があることをご存じでしょうか?
VMware NSX の IDS/IPS 機能には分散 IDS/IPS とゲートウェイ IDS/IPS がありますが、本記事では分散 IDS/IPS について機能と基本的な導入手順をご紹介していきます。
分散IDS/IPSとは
不正アクセスを検出する IDS とそういったアクセスを防止する IPS は専用の物理機器または仮想アプライアンス製品が多く、大抵の場合物理ネットワークの経路上への配置が必要となります。
また既に内部に侵入されていた場合、侵入されたノードから他のノードへの不正アクセスについては検出できません。
VMware NSX の分散 IDS/IPS は、VMware NSX による仮想ネットワークに乗る形で仮想マシンの vNIC 単位で動作します。そのため、ネットワーク経路上に専用機器の設置が不要であり、内部ノード間の不審な通信にも対応しています。
ゲートウェイのような単一ポイントでの動作となる従来製品と異なり、仮想マシンが稼働するホストや物理ネットワークの制約に囚われず、クラスタ全域で仮想マシンごとに動作するため「分散」と呼ばれています。
実装については、セグメントやグループ*1ごとに、一般的なファイアウォールのルール設定に近い形で GUI から簡単に設定できます。
ルールごとに検出のみとするか防止も行うかをワンクリックで設定できるため、「このセグメントは検知のみに留める」「この仮想マシン群は防止まで徹底する」といった柔軟な運用が容易に行えます。
誤検知により必要な通信が遮断されるといった弊害を避けるため、防御する対象について、導入時は検出のみとして実際に流れる通信を観察し、誤検知の頻度が判明したり対策の目途が付いた段階で防止へ移行する運用がお勧めとなります。
導入の前提条件/必要なもの
以下が準備済みであることが前提となります。
- vSphere クラスタ、VMware NSX の構築
- 分散仮想スイッチ
- 分散ファイアウォール
- vSphere ライセンス、NSX ライセンスの他、NSX Security ライセンス ( NSX Distributed Firewall with Threat Prevention )の入手
- vSphere クラスタのインターネット接続 ※必須ではありませんが、接続が無い場合はシグネチャを別端末にてダウンロード後、手動で適用する必要があります。
導入手順
分散 IDS/IPS の有効化
- NSX Manager へブラウザでアクセスし、ログインします。
- [ セキュリティ ] → [ IDS/IPS とマルウェア防止 ] をクリックして設定画面を開き、[ 設定の開始 ] をクリックします。
- [ 次へ ]をクリックします。
- インターネット接続にプロキシサーバを用いている場合は [ NSXプロキシサーバに移動 ] をクリックしてプロキシサーバの設定を行います。プロキシサーバを用いないまたは設定済みの場合は [ 次へ ] をクリックします。
- [次へ] をクリックします。
- [次へ] をクリックします。
- [ シグネチャの管理と除外リスト ] より [ 自動更新 ] のトグルボタンをクリックしてシグネチャの自動更新を有効にし、[ 次へ ] をクリックします。
- 対象クラスタの [ IDS/IPS ]のトグルボタンをクリックした後、[ 完了 ] をクリックします。
分散 IDS/IPS ルール設定
- [ 分散ルール ] → [ ポリシーの追加 ] をクリックします。
- 新規ポリシーの名前を任意に入力し、[ ルールを追加 ] をクリックします。
- ルール名、対象とする通信の送信元、宛先、サービス、セキュリティプロファイル、モード ( 検出のみ/検出と防止 ) を設定し、[ 発行 ] をクリックします。
おわりに
分散IDS/IPSは導入の際ライセンス費用が通常よりかかりますが、物理機器の増設やその間のネットワーク停止といった手間が無く手軽にセキュリティの強化が図れるため、VMware NSX を導入済みであれば是非導入をご検討いただければと思います。
また機会があれば、より高度なセキュリティ機能である NSX ATP についてもご紹介できればと考えております。
*1:複数の仮想マシンを属性タグや OS 種別、仮想マシン名などで一纏めにしたオブジェクト
