以前、当ブログにて VMware NSX の分散 IDS/IPS の概要と導入手順をご紹介しましたが、NSX のセキュリティ機能は IDS/IPS だけにとどまるものではありません。
今回は、より高度なセキュリティ機能である VMware NSX Advanced Threat Prevention ( NSX ATP ) の概要、導入に必要なライセンスやプロダクト、構築の概略をご紹介していきます。
次回以降、各構築ステップの具体的な構築手順を順次ご紹介していきます。
NSX ATPとは
VMware NSX のコンポーネントにて以下のセキュリティ機能を提供する、セキュリティ対策および強化のソリューションとなります。
- 侵入検知および防止システム ( IDS/IPS )
- ネットワーク サンドボックスとそれを用いたマルウェア検知や防止
- ネットワーク トラフィック分析 ( NTA : Network Traffic Analysis )
- Network Detection and Response ( NDR )
これらが連動し常にネットワークの情報を監視・収集・分析を行うことで、単純な外部からのネットワーク攻撃だけでなく、内部ネットワークでの不審なトラフィックやマルウェアの動きなどを含めたより確実な検出・防止が可能となります。
侵入検知および防止システム ( IDS/IPS )
VMware NSX においては、一般的な IDS/IPS 製品同様にゲートウェイとなる単一ポイントで動作するゲートウェイ IDS/IPS と、以前の記事でご紹介した分散 IDS/IPS があります。
ネットワーク サンドボックスとそれを用いたマルウェア検知や防止
NSX Application Platform ( NAPP ) およびマルウェア防止用サービス仮想マシン ( SVM ) にて、マルウェアの疑いのあるファイルを検出後に、ローカルおよびインターネット上のサンドボックスへ隔離します。
ここでシグネチャにマッチするか否かのチェックやコード解析等が行われ、有害と判定された場合は排除となります。
IDS/IPS 同様、ゲートウェイ マルウェア防止と分散マルウェア防止があります。
ネットワーク トラフィック分析 ( NTA : Network Traffic Analysis )
NAPP によって NTA 機能が提供され、AIを 活用したふるまい検知が行われます。
(今回の連載では、検証環境のリソース都合により、機能有効化等の手順は割愛させていただきます。)
Network Detection and Response ( NDR )
VMware NSX においては、IDS/IPS、サンドボックス、NTA を連携させて NDR 機能を実現しています。
NSX ATP 導入の前提条件/必要なもの
以下が準備済みであることが前提となります。
各種ライセンスの入手
他プロダクト / コンポーネントの構築
- vSphere クラスタの構築
- 一般的な構成が構築済みであること
- 分散仮想スイッチを設定済みであること
- サブスクライブ済みコンテンツライブラリを作成済みであること
- NSX 環境の構築
- 一般的かつ外部環境とのルーティングが可能な構成が構築済みであること
- NSX Manager のコンピュートマネージャ設定で、[ 信頼を有効にする ] が有効化済みであること
- NSX Manager がインターネット接続可能であること ( プロキシサーバ利用可 )
- ゲートウェイ IDS/IPS を使用する場合は NSX Edgeのサイズが Large 以上であること
- ゲートウェイマルウェアを使用する場合は NSX Edge が Extra Large サイズまたはベアメタルであること
- Web サーバの構築 *6
- vCenter、ESXiホスト、NSX Manager からアクセス可能であること
- 以下 MIME タイプが追加済みであること
- application / vmware
- application / octet-stream
- text / cache-manifest
- application / x-x509-user-cert
- ワークロード用 DNS サーバの準備
- vCenter や NSX Manager が参照する DNS サーバとは別であること
- nic / IPアドレスが別であれば同一筐体でも可
- インターフェース サービス名 ( FQDN ) 、メッセージングサービス名 ( FQDN ) のレコード登録
- 名前は任意
- IPアドレスは、後述の入力方向CIDRの末尾付近で採番
- vCenter や NSX Manager が参照する DNS サーバとは別であること
- IPアドレス範囲の準備
- スーパーバイザー制御プレーン仮想マシンの管理用 ( 3台分 )
- ワークロードネットワークの入力方向CIDR、出力方向CIDR
- それぞれ、例えば以下の様に NSX の外部とのルーティングセグメントのアドレスレンジ内である必要があります。
- 外部ルーティング用セグメント : 192.168.201.0 / 24
- 入力方向CIDR : 192.168.201.32 / 27
- 出力方向CIDR : 192.168.201.64 / 27
- それぞれ、例えば以下の様に NSX の外部とのルーティングセグメントのアドレスレンジ内である必要があります。
- マルウェア防止サービス仮想マシン (マルウェア防止SVM) の管理用 ( 保護対象の ESXi ホスト台数と同数 )
その他
- 作業端末の準備*7
- vSphere クラスタへアクセスできること
- コマンドまたはPostman等のソフトでREST API が実行可能であること
- Teraterm 等のターミナルソフトがインストールされていること
- Puttygen 等のパブリックキー / プライベートキーを生成できるソフトがインストールされていること
- 構築資材の入手 *8
- SVM デプロイ用の OVA ファイル
大まかな構築の流れ
以下の順序で環境を構築し、NSX ATP の機能を有効化していきます。
- Tanzu の導入
- TKG クラスタの構築
- NAPP の展開
- SVM のデプロイ
- マルウェア防止設定および NSX NDR 有効化
おわりに
NSX ATP は追加のライセンスや Tanzu の導入が必要であり、導入に費用と手間はかかりますが、導入後は日々更新される攻撃手法やマルウェアにも従来のセキュリティ手法より速く、強く対応が可能となります。
次回より、具体的な構築手順、注意点等をご紹介していければと思います。
*1:クラスタの共有ストレージにvSANを用いる場合
*2: NAPP の構築に必要
*3:導入するバージョン等によってライセンス/組み合わせが異なるため購入および導入の際は VMware 社にお問い合わせ下さい。ここではNSX 4.1での一例を記載します。
*4:分散 IDS/IPS、分散マルウェア防止を利用する場合
*5:ゲートウェイ IDS/IPS、ゲートウェイマルウェア防止を使用する場合
*6:SVMの展開時に使用
*7:今回の連載では、vSphere 等へのブラウザアクセスは Widows 端末から、REST API のコマンド実行等は Linux 端末から実施しています。
*8:一般的な vSphere クラスタおよび NSX 構築用のものを除く