この例では、分散マルウェア防止ファイアウォール ルールを使用してセキュリティ ポリシーを作成し、組織内でデータベース サーバと Web サーバを実行している Windows ワークロード仮想マシンに存在する悪質なポータブル実行ファイルを検出して、防止します。

この目標を達成するには、NSX-T Data CenterNSX Distributed Malware Prevention サービスを使用します。この例では、タグに基づく動的メンバーシップ基準を使用して、データベース サーバと Web サーバのワークロード仮想マシンをグループ化します。

仮定:

  • ワークロード仮想マシンのグループ化に必要なタグは、次のように NSX-T インベントリにすでに追加されています。
    • タグ名:DB、スコープ:サーバ
    • タグ名:WEB、スコープ:サーバ
  • DB タグは、VM1、VM2、VM3 の 3 つのデータベース ワークロード(Windows 仮想マシン)に割り当てられます。
  • WEB タグは、VM4、VM5、VM6 の 3 つのアプリケーション ワークロード(Windows 仮想マシン)に割り当てられます。
  • マルウェア防止プロファイルで [クラウド ファイルの分析] オプションが選択されています。

前提条件

NSX マルウェア防止サービス仮想マシンは、ワークロード仮想マシンが実行されている vSphere ホスト クラスタに展開されます。詳細な手順については、NSX Distributed Malware Prevention サービスの展開を参照してください。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. データベース ワークロード仮想マシンとアプリケーション ワークロード仮想マシンを 2 つのグループに編成します。
    1. [インベントリ] > [グループ] に移動します。
    2. [グループの追加] をクリックします。
    3. 次のスクリーンショットのように、タグに基づく動的メンバーシップ基準を持つ 2 つのグループを作成し、仮想マシンをメンバーとして使用します。

      - 仮想マシンに割り当てられたタグに基づく DB サーバ グループの動的基準。

      - 仮想マシンに割り当てられたタグに基づく Web サーバ グループの動的基準。
    4. [グループ] ページで、グループごとに [メンバーの表示] をクリックして、有効なメンバーが表示されていることを確認します。
      グループ名 有効なメンバー
      DB-Servers VM1、VM2、VM3
      Web-Servers VM4、VM5、VM6
  3. [セキュリティ] > [IDS/IPS とマルウェア防止] > [分散ルール] に移動します。
  4. [ポリシーの追加] をクリックしてセクションを作成し、ポリシーの名前を入力します。
    たとえば、 Malware-Prevention-Rules と入力します。
  5. [ルールの追加] をクリックして、ルールを構成します。
    1. ルールの名前を入力します。
      たとえば、 Protect-DB-Web-Servers と入力します。
    2. [送信元][宛先][サービス] 列で、「任意」を保持します。
    3. [セキュリティ プロファイル] 列で、このルールに使用するマルウェア防止プロファイルを選択します。
    4. [適用先] 列で、以前に作成した [DB-Servers][Web-Servers] グループを選択します。
    5. [モード] 列で、[検出して防止] を選択します。
  6. ルールを公開します。

結果

ルールがホストにプッシュされます。

ワークロード仮想マシンで Windows ポータブル実行ファイル (PE) ファイルが検出されると、ファイル イベントが生成され、[マルウェア防止] ダッシュボードに表示されます。ファイルが無害な場合、ファイルはワークロード仮想マシンにダウンロードされます。ファイルが既知のマルウェアで(ファイルが NSX-T の既知のマルウェア ファイルのシグネチャと一致)、ルールで [検出して防止] モードが指定されている場合、ワークロード仮想マシンで悪質なファイルがブロックされます。

ファイルが不明なマルウェア(ゼロデイ脅威)で、データセンターで初めて検出された場合、ファイルはワークロード仮想マシンにダウンロードされます。ローカル ファイル分析またはクラウド ファイル分析によって NSX-T が悪質なファイルと判定した場合、この判定はデータセンター内の他の ESXi ホストと NSX Edge に配布され、NSX マルウェア防止で有効になります。NSX マルウェア防止によって保護されているワークロード仮想マシンのいずれかで同じハッシュを持つファイルが再度検出されると、セキュリティ ポリシーが適用され、ワークロード仮想マシンで悪質なファイルがブロックされます。