分散ファイアウォールの NSX マルウェア防止は、NSX ゲスト イントロスペクション (GI) フレームワークを使用します。Windows ゲスト エンドポイント(仮想マシン)でマルウェアを検出して防止するには、NSX 用に準備された ESXi ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する必要があります。
- 4 個の vCPU
- 6 GB の RAM
- 80 GB のディスク容量
ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する前に、次のセクションで説明する前提条件を満たす必要があります。いくつかの前提条件がすでに完了している場合は、それらをスキップして、保留中の前提条件に進みます。
NSX-T Data Center での適切なライセンスの追加
NSX マルウェア防止 機能を使用するには、NSX-T Data Center が適切なライセンスを使用する必要があります。NSX マルウェア防止 をサポートするライセンスの詳細については、NSX IDS/IPS と NSX マルウェア防止のシステム要件を参照してください。
- NSX Manager で、 の順に移動します。
- ライセンス キーを入力します。
すべてのホストが vCenter Server によって管理されていることの確認
NSX マルウェア防止 機能は、1 つ以上の vCenter Server によって管理されている vSphere ホスト クラスタでのみサポートされます。
ホストが vCenter Server によって管理されていることを確認するには、次の表に記載されている手順を実行します。
| NSX-T Data Center のバージョン | 手順 |
|---|---|
| 3.2.2 |
|
| 3.2.1 以前 |
|
トランスポート ノードとしてのホストの構成
vSphere ホスト クラスタにトランスポート ノード プロファイルを適用して、vSphere ホストをホスト トランスポート ノードとして構成します。
SVM への SSH アクセス用のパブリック/プライベート キー ペアの生成
トラブルシューティング目的で SVM からログ ファイルをダウンロードするには、NSX マルウェア防止 SVM への読み取り専用 SSH アクセスが必要です。
SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。 ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。
任意の SSH キー生成ツールを使用して、パブリック キーとプライベート キーのペアを生成できます。ただし、次のサブセクションで説明するように、パブリック キーは特定の形式に従う必要があります。SSH キー生成ツールの例として、ssh-keygen、PuTTY Key Generator などがあります。サポートされるキー サイズは、1024 ビット、2048 ビット、4096 ビットです。
- パブリック キーの形式
-
パブリック キーは次の形式に従う必要があります。
例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022
PuTTY Key Generator を使用している場合は、パブリック キーがユーザー インターフェイスから直接コピーされていることを確認します。キー ペアが存在する場合は、まず PuTTY Key Generator のユーザー インターフェイスでプライベート キー ファイルをロードしてから、[Key] テキスト ボックスに表示されているパブリック キーをコピーします。パブリック キー ファイルからコンテンツをコピーしないでください。コピーされたコンテンツの形式は異なる場合があり、サービス仮想マシンでは機能しない可能性があります。
Linux システムで ssh-keygen ユーティリティを使用してキー ペアを生成する場合、パブリック キーのキー形式には常に ssh-rsa が含まれます。したがって、Linux システムでは、パブリック キー ファイルからコンテンツをコピーできます。
- 推奨のプラクティス
-
NSX Distributed Malware Prevention サービスの展開は、ホスト クラスタのレベルで実行されます。そのため、キー ペアはホスト クラスタに関連付けられています。各クラスタのサービス展開用に新しいパブリック/プライベート キー ペアを作成することも、すべてのクラスタのサービス展開に単一のキー ペアを使用することもできます。
クラスタごとにサービス展開に別のパブリック/プライベート キー ペアを使用する場合は、識別しやすいよう、キー ペアに正しい名前が付けられていることを確認します。
コンピュート クラスタ ID を使用して各サービス展開を特定し、キー ペアの名前にクラスタ ID を指定することをお勧めします。たとえば、クラスタ ID が 1234-abcd とします。このクラスタで、サービス展開名を MPS-1234-abcd とすると、このサービス展開にアクセスするためのキー ペアに id_rsa_1234_abcd.pem という名前を付けることができます。この方法により、各サービス展開で使用されるキーの管理と関連付けを簡単に行うことができます。
重要: プライベート キーは安全に保管してください。プライベート キーが失われると、 NSX マルウェア防止 SVM への SSH アクセスができなくなります。
NSX Application Platform の展開
NSX Application Platform は、ネットワーク トラフィック データを収集、取り込み、関連付けるいくつかの NSX 機能をホストする最新のマイクロサービス プラットフォームです。
プラットフォームの展開の詳細な手順については、https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/index.htmlにある『VMware NSX Application Platform の展開と管理』を参照してください。リンク先の左側のナビゲーション ペインで、バージョン 3.2 以降を展開して、ドキュメント名をクリックします。
NSX マルウェア防止 機能の有効化
詳細な手順については、NSX マルウェア防止の有効化を参照してください。
この機能を有効にすると、NSX マルウェア防止 に必要なマイクロサービスが NSX Application Platform で実行を開始します。
- NSX Manager で、 の順に移動します。
- ページを下にスクロールして、[機能] セクションを表示します。
- [NSX マルウェア防止] 機能カードで、[状態] が「稼動中」になっていることを確認します。
状態が「停止」の場合は、状態が「稼動中」に変わるまで待ってから、次の手順に進みます。
ゲスト仮想マシンの仮想マシン ハードウェア構成の確認
- vSphere Client にログインします。
- [ホストおよびクラスタ] に移動し、クラスタに移動します。
- クラスタ内の仮想マシンを 1 つずつクリックします。
- [サマリ] ページで、[仮想マシンのハードウェア] ペインを展開し、仮想マシンの互換性情報を確認します。仮想マシンのバージョン番号は 9 以降にする必要があります。
![互換性情報がハイライト表示された [仮想マシンのハードウェア] ペイン。](images/GUID-149036C4-6182-42D6-8927-80E47D849B33-low.png)
NSX ファイル イントロスペクション ドライバのインストール
NSX ファイル イントロスペクション ドライバは、Windows 用の VMware Tools に含まれています。ただし、このドライバは、デフォルトの VMware Tools インストールの一部ではありません。このドライバをインストールするには、カスタム インストールまたは完全インストールを実行し、NSX ファイル イントロスペクション ドライバを選択する必要があります。
詳細な手順については、Windows 仮想マシンへのゲスト イントロスペクション シン エージェントのインストールを参照してください。
NSX マルウェア防止 サービス仮想マシンの OVA ファイルのダウンロード
- Web ブラウザで、VMware NSX-T Data Center™ のダウンロードページを開き、VMware ID を使用してログインします。
- OVA ファイルをダウンロードします。(VMware-NSX-Malware-Prevention-appliance-3.2.0.0-build_namber.ova)
- 次のコマンドを使用して、OVA ファイルを抽出します。
tar -xvf filename.ova
filename は、前の手順でダウンロードした OVA ファイルの正確な名前に置き換えます。
OVA ファイルが抽出されたルート ディレクトリに、次の 4 つのファイルがあることを確認します。
- OVF ファイル (.ovf)
- マニフェスト ファイル (.mf)
- 証明書ファイル (.cert)
- 仮想マシン ディスク ファイル (.vmdk)
- 次の前提条件を満たす Web サーバに、抽出されたすべてのファイルをコピーします。
- Web サーバには HTTP 経由の非認証アクセスが必要です。
- Web サーバは、NSX Manager、NSX マルウェア防止 SVM を展開するすべての ESXi ホスト、NSX-T に登録されている vCenter Server にアクセスできる必要があります。
- 抽出されたファイルの MIME タイプを Web サーバに追加する必要があります。MIME タイプを Web サーバに追加する方法については、Web サーバのドキュメントを参照してください。
ファイル拡張子 MIME タイプ .ovf
application/vmware
.vmdk
application/octet-stream
.mf
text/cache-manifest
.cert
application/x-x509-user-cert
NSX Distributed Malware Prevention サービスの登録
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
- Web サーバ上の OVF ファイルの完全パス
- 展開仕様の名前(vCenter Server では、SVM はこの名前で識別されます)
- SVM のバージョン番号
{
"ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
"deployment_spec_name" : "NSX_Distributed_MPS",
"svm_version" : "3.2"
}
応答の例など、この API の詳細については、VMware 開発者向けドキュメント ポータルのマルウェア防止 API のドキュメントを参照してください。
- NSX Manager で、 に移動します。
- [VMware NSX 分散マルウェア防止サービス] がページに表示されていることを確認します。
