分散ファイアウォールの NSX マルウェア防止は、NSX ゲスト イントロスペクション (GI) フレームワークを使用します。ゲスト エンドポイント(仮想マシン)でマルウェアを検出して防止するには、NSX 用に準備された ESXi ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する必要があります。

ホスト クラスタにサービスを展開すると、 NSX マルウェア防止 サービス仮想マシン (SVM) のインスタンスがクラスタの各ホストに展開されます。現在、固定サイズの SVM が展開されます。クラスタの各ホストには、次のリソースが必要です。
  • 4 個の vCPU
  • 6 GB の RAM
  • 80 GB のディスク容量

NSX 4.0 では、分散 East-West トラフィックでのマルウェアの検出と防止は、Windows ゲスト エンドポイント(仮想マシン)上の GI シン エージェントによって抽出された Windows Portable Executable (PE) ファイルでのみサポートされます。その他のファイル カテゴリは NSX Distributed Malware Prevention でサポートされていません。

NSX 4.0.1.1 以降では、分散 East-West トラフィックでのマルウェアの検出と防止が、Windows と Linux の両方のゲスト エンドポイントのすべてのファイル カテゴリでサポートされます。サポートされているファイル カテゴリのリストについては、NSX マルウェア防止でサポートされるファイル カテゴリを参照してください。

サポートされるファイル サイズの上限は 64 MB です。

ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する前に、次のセクションで説明する前提条件を満たす必要があります。いくつかの前提条件がすでに完了している場合は、それらをスキップして、保留中の前提条件に進みます。

NSX での適切なライセンスの追加

NSX マルウェア防止 機能を使用するには、NSX が適切なライセンスを使用する必要があります。NSX マルウェア防止 をサポートするライセンスの詳細については、NSX IDS/IPS と NSX マルウェア防止のシステム要件を参照してください。

ライセンスを追加するには:
  1. NSX Manager で、[システム] > [ライセンス] > [ライセンスの追加] の順に移動します。
  2. ライセンス キーを入力します。

すべてのホストが VMware vCenter によって管理されていることの確認

NSX マルウェア防止 機能は、1 つ以上の vCenter Server によって管理されている vSphere ホスト クラスタでのみサポートされます。

  1. NSX Manager で、[システム] > [ファブリック] > [ホスト] に移動します。
  2. [管理元] ドロップダウン メニューで、NSX マルウェア防止 SVM を展開する vSphere ホスト クラスタを管理する VMware vCenter を選択します。

    vSphere ホスト クラスタのリストが表示されます。このリストに、マルウェア防止を有効にする目的のホスト クラスタが含まれていることを確認します。

トランスポート ノードとしてのホストの構成

vSphere ホスト クラスタにトランスポート ノード プロファイルを適用して、vSphere ホストをホスト トランスポート ノードとして構成します。

詳細な手順については、『 NSX インストール ガイド』の次のトピックを参照してください。

SVM への SSH アクセス用のパブリック/プライベート キー ペアの生成

トラブルシューティング目的で SVM からログ ファイルをダウンロードするには、NSX マルウェア防止 SVM への読み取り専用 SSH アクセスが必要です。

SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。

任意の SSH キー生成ツールを使用して、パブリック キーとプライベート キーのペアを生成できます。ただし、次のサブセクションで説明するように、パブリック キーは特定の形式に従う必要があります。SSH キー生成ツールの例として、ssh-keygen、PuTTY Key Generator などがあります。サポートされるキー サイズは、1024 ビット、2048 ビット、4096 ビットです。

パブリック キーの形式
パブリック キーは次の形式に従う必要があります。
例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

PuTTY Key Generator を使用している場合は、パブリック キーがユーザー インターフェイスから直接コピーされていることを確認します。キー ペアが存在する場合は、まず PuTTY Key Generator のユーザー インターフェイスでプライベート キー ファイルをロードしてから、[Key] テキスト ボックスに表示されているパブリック キーをコピーします。パブリック キー ファイルからコンテンツをコピーしないでください。コピーされたコンテンツの形式は異なる場合があり、サービス仮想マシンでは機能しない可能性があります。

Linux システムで ssh-keygen ユーティリティを使用してキー ペアを生成する場合、パブリック キーのキー形式には常に ssh-rsa が含まれます。したがって、Linux システムでは、パブリック キー ファイルからコンテンツをコピーできます。

推奨のプラクティス

NSX Distributed Malware Prevention サービスの展開は、ホスト クラスタのレベルで実行されます。そのため、キー ペアはホスト クラスタに関連付けられています。各クラスタのサービス展開用に新しいパブリック/プライベート キー ペアを作成することも、すべてのクラスタのサービス展開に単一のキー ペアを使用することもできます。

クラスタごとにサービス展開に別のパブリック/プライベート キー ペアを使用する場合は、識別しやすいよう、キー ペアに正しい名前が付けられていることを確認します。

コンピュート クラスタ ID を使用して各サービス展開を特定し、キー ペアの名前にクラスタ ID を指定することをお勧めします。たとえば、クラスタ ID が 1234-abcd とします。このクラスタで、サービス展開名を MPS-1234-abcd とすると、このサービス展開にアクセスするためのキー ペアに id_rsa_1234_abcd.pem という名前を付けることができます。この方法により、各サービス展開で使用されるキーの管理と関連付けを簡単に行うことができます。

重要: プライベート キーは安全に保管してください。プライベート キーが失われると、 NSX マルウェア防止 SVM への SSH アクセスができなくなります。

NSX Application Platform の展開

NSX Application Platform は、ネットワーク トラフィック データを収集、取り込み、関連付けるいくつかの NSX 機能をホストする最新のマイクロサービス プラットフォームです。

プラットフォームの展開の詳細な手順については、https://docs.vmware.com/jp/VMware-NSX/index.htmlにある『VMware NSX Application Platform の展開と管理』を参照してください。リンク先の左側のナビゲーション ペインで、バージョン 4.0 以降を展開して、ドキュメント名をクリックします。

NSX マルウェア防止 機能の有効化

詳細な手順については、NSX マルウェア防止の有効化を参照してください。

この機能を有効にすると、NSX マルウェア防止 に必要なマイクロサービスが NSX Application Platform で実行を開始します。

次の手順に進む前に、 NSX Application PlatformNSX マルウェア防止 機能の状態を確認します。次の操作を行います。
  1. NSX Manager で、[システム] > [NSX Application Platform] の順に移動します。
  2. ページを下にスクロールして、[機能] セクションを表示します。
  3. [NSX マルウェア防止] 機能カードで、[状態] が「稼動中」になっていることを確認します。

状態が「停止」の場合は、状態が「稼動中」に変わるまで待ってから、次の手順に進みます。

ゲスト仮想マシンの仮想マシン ハードウェア構成の確認

ゲスト仮想マシンで仮想マシン ハードウェア構成バージョン 9 以降が実行されていることを確認します。次の操作を行います。
  1. vSphere Client にログインします。
  2. [ホストおよびクラスタ] に移動し、クラスタに移動します。
  3. クラスタ内の仮想マシンを 1 つずつクリックします。
  4. [サマリ] ページで、[仮想マシンのハードウェア] ペインを展開し、仮想マシンの互換性情報を確認します。仮想マシンのバージョン番号は 9 以降にする必要があります。
例:
互換性情報がハイライト表示された [仮想マシンのハードウェア] ペイン。

NSX ファイル イントロスペクション ドライバのインストール

NSX ファイル イントロスペクション ドライバは、Windows 用の VMware Tools に含まれています。ただし、このドライバは、デフォルトの VMware Tools インストールの一部ではありません。このドライバをインストールするには、カスタム インストールまたは完全インストールを実行し、NSX ファイル イントロスペクション ドライバを選択する必要があります。

Linux 用ファイル イントロスペクション ドライバは、オペレーティング システム固有パッケージ (OSP) の一部として使用できます。パッケージは、VMware パッケージ ポータルにホストされます。Enterprise Administrator または Security Administrator(NSX Administrator ではない)は、NSX の外にある Linux ゲスト仮想マシンに、ゲスト イントロスペクション シン エージェントをインストールすることもできます。Linux では、open-vm-tools または VM Tools をインストールする必要はありません。

NSX マルウェア防止 サービス仮想マシンの OVA ファイルのダウンロード

  1. Web ブラウザで、VMware Customer Connect ポータルの [すべてのダウンロード] ページを開き、VMware ID を使用してログインします。
  2. [すべての製品] ドロップダウン メニューから、[ネットワークとセキュリティの] を選択します。
  3. VMware NSX® の横にある [製品のダウンロード] をクリックします。[VMware NSX のダウンロード] ページが開きます。
  4. 使用している NSX ライセンスを見つけて、[ダウンロードに移動] をクリックします。
  5. NSX SVM アプライアンス (VMware-NSX-Malware-Prevention-appliance-version_number.build_number.ova) の OVA ファイルをダウンロードします。
  6. 次のコマンドを使用して、OVA ファイルを抽出します。
    tar -xvf filename.ova

    filename は、前の手順でダウンロードした OVA ファイルの正確な名前に置き換えます。

    OVA ファイルが抽出されたルート ディレクトリに、次の 4 つのファイルがあることを確認します。

    • OVF ファイル (.ovf)
    • マニフェスト ファイル (.mf)
    • 証明書ファイル (.cert)
    • 仮想マシン ディスク ファイル (.vmdk)
  7. 次の前提条件を満たす Web サーバに、抽出されたすべてのファイルをコピーします。
    • Web サーバには HTTP 経由の非認証アクセスが必要です。
    • Web サーバは、NSX ManagerNSX マルウェア防止 SVM を展開するすべての ESXi ホスト、NSX に登録されている VMware vCenter にアクセスできる必要があります。
    • 抽出されたファイルの MIME タイプを Web サーバに追加する必要があります。MIME タイプを Web サーバに追加する方法については、Web サーバのドキュメントを参照してください。
      ファイル拡張子 MIME タイプ

      .ovf

      application/vmware

      .vmdk

      application/octet-stream

      .mf

      text/cache-manifest

      .cert

      application/x-x509-user-cert

注: Web サーバは、 NSX Manager アプライアンス、 ESXi ホスト、 VMware vCenter アプライアンスが展開されている同じネットワークに展開できます。Web サーバはインターネット アクセスを必要としません。

NSX Distributed Malware Prevention サービスの登録

次の POST API を実行します。
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
この POST API の要求本文で、次の詳細を指定します。
  • Web サーバ上の OVF ファイルの完全パス
  • 展開仕様の名前(VMware vCenter では、SVM はこの名前で識別されます)
  • SVM のバージョン番号
要求本文の例:
{
    "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
    "deployment_spec_name" : "NSX_Distributed_MPS",
    "svm_version" : "3.2"
}

この POST API の svm_version パラメータには、サンプル値が示されています。ダウンロードした SVM アプライアンス バージョンの値を指定できます。

応答の例など、この API の詳細については、VMware 開発者向けドキュメント ポータルのマルウェア防止 API のドキュメントを参照してください。

サービス名が [カタログ] ページに表示されていることを確認します。次の操作を行います。
  1. NSX Manager で、[システム] > [サービス展開] > [カタログ] に移動します。
  2. [VMware NSX 分散マルウェア防止サービス] がページに表示されていることを確認します。