NSX Intrusion Detection and Prevention Service (IDS/IPS) の目的は、ホストと Edge のネットワーク トラフィックをモニターし、既知のシグネチャ セットとトラフィックを比較して悪意のあるアクティビティを検出することです。NSX マルウェア防止の目的は、ホストおよび Edge 上のネットワーク トラフィックからファイルを抽出し、これらのファイルを分析して悪意のある動作を分析することです。

NSX 侵入検知/防止サービスの概要

NSX IDS/IPS は、ホスト上のネットワーク トラフィックをモニターし、トラフィックをシグネチャと比較して不審なアクティビティを検出します。シグネチャは、検出と報告が必要なネットワーク侵入のタイプのパターンを指定します。シグネチャに一致するトラフィック パターンが見つかると、アラートを生成したり、トラフィックの宛先への到達をブロックするなど、事前定義されたアクションが実行されます。

IDS の実装は、次の方法で行われます。
  • ナレッジベースのシグネチャ:ナレッジベースのシグネチャには、既知のタイプの攻撃に対応する特定の情報またはパターンが組み込まれています。このアプローチでは、IDS はシグネチャで指定された既知の悪質な命令シーケンスに基づいて侵入を検出しようとします。したがって、ナレッジベースのシグネチャは、すでに知られている攻撃に限定されるため、標的型またはゼロデイの脅威には対応できません。
  • 動作ベースの検出:動作ベースの検出は、ベースラインまたは通常のトラフィックとは異なるイベントや異常なイベントを特定することによって、アノマリな動作を特定しようとします。

    これらのイベントは情報と呼ばれ、ネットワーク内の異常なアクティビティを特定するイベントで構成されます。これは、必ずしも悪質とは限りませんが、侵害の調査に有益な情報を提供する可能性があります。シグネチャは、IDS エンジンを再コンパイルまたは変更することなく更新できるカスタム検出ロジックと一緒にバンドルされます。動作ベースの検出では、新しい IDS 侵入の重要度レベルが「不審」になっています。

NSX は、分散ファイアウォールとゲートウェイ ファイアウォールの両方で IDS/IPS 機能をサポートします。ゲートウェイ ファイアウォール機能の NSX IDS/IPS は、Tier-1 ゲートウェイでのみサポートされます。

NSX マルウェア防止の概要

NSX マルウェア防止では、既知または未知の悪質なファイルと検出して防止できます。未知の悪質なファイルはゼロデイ脅威とも呼ばれます。マルウェアを検出するため、 NSX マルウェア防止は次の手法を組み合わせて使用します。
  • ハッシュベースでの既知の悪質なファイルの検出
  • 不明なファイルのローカル分析
  • 不明なファイルのクラウド分析

NSX 4.x のすべてのバージョンでは、マルウェア分析でサポートされるファイル サイズは 64 MB までです。

NSX Distributed Malware Prevention
  • NSX 4.0 では、分散ファイアウォールでのマルウェアの検出と防止は、NSX 用に準備された vSphere ホスト クラスタで実行されている Windows ゲスト エンドポイント (VM) でのみサポートされます。

    ローカル分析とクラウド分析では、Windows ポータブル実行ファイル (PE) ファイルのみがサポートされます。その他のファイル カテゴリは NSX Distributed Malware Prevention でサポートされていません。

  • NSX 4.0.1.1 以降では、分散ファイアウォールでのマルウェアの検出と防止は、NSX 用に準備された vSphere ホスト クラスタで実行されている Windows および Linux のゲスト エンドポイント(仮想マシン)の両方でサポートされます。

    マルウェア ファイルのすべてのカテゴリのローカル分析とクラウド分析がサポートされます。サポートされているファイル カテゴリのリストについては、NSX マルウェア防止でサポートされるファイル カテゴリを参照してください。

ゲートウェイ ファイアウォールの NSX マルウェア防止

NSX 4.0 以降では、ゲートウェイ ファイアウォールでマルウェアの検出のみがサポートされます。マルウェア ファイルのすべてのカテゴリのローカル分析とクラウド分析がサポートされます。サポートされているファイル カテゴリのリストを表示するには、「NSX Distributed Malware Prevention」セクションに記載されているハイパーリンク付きのトピックを参照してください。

図 1. NSX マルウェア防止の概念図

NSX マルウェア防止の概念図。

North-South トラフィックに対して、NSX マルウェア防止機能は、NSX Edge の IDS/IPS エンジンを使用して、データセンターに入るファイルを抽出またはインターセプトします。East-West トラフィックに対して、この機能は NSX ゲスト イントロスペクション (GI) プラットフォームの機能を使用します。ファイルが NSX Edge の検証をバイパスしてホストに到達すると、ファイルはゲスト仮想マシン上の GI シン エージェントによって抽出されます。

ゲスト仮想マシンでマルウェアを検出して防止するには、ゲスト仮想マシンに NSX ゲスト イントロスペクション シン エージェントをインストールして、NSX 用に準備された vSphere ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する必要があります。このサービスを展開すると、サービス仮想マシン (SVM) が vSphere クラスタの各ホストにインストールされ、ホスト クラスタで NSX マルウェア防止が有効になります。

Windows 用の NSX ゲスト イントロスペクション シン エージェント ドライバは、VMware Tools に含まれています。NSX のバージョンでサポートされている VMware Tools のバージョンについては、VMware 製品の相互運用性マトリックスを参照してください。特定の VMware Tools バージョンでサポートされている Windows ゲスト OS の一覧については、VMware Tools のドキュメントで、該当するバージョンのリリース ノートを参照してください。

注: Windows 11 および Windows 2022 ゲスト OS バージョンは、VMware Tools 12.0.6 以降でサポートされています。

Linux 用ゲスト イントロスペクション シン エージェントは、オペレーティング システム固有パッケージ (OSP) の一部として使用できます。パッケージは、VMware パッケージ ポータルにホストされます。Linux では、open-vm-tools または VM Tools をインストールする必要はありません。サポートされている Linux ゲスト OS のバージョンのリストを表示するには、Linux 仮想マシンへのアンチウイルス用ゲスト イントロスペクション シン エージェントのインストールの「前提条件」セクションを参照してください。

NSX マルウェア防止ファイル イベント

ファイル イベントは、NSX Edge 上の IDS エンジンが North-South トラフィックからファイルを抽出したときと、仮想マシン エンドポイント上の NSX ゲスト イントロスペクション エージェントが East-West 分散トラフィックからファイルを抽出したときに生成されます。

NSX マルウェア防止機能は、抽出されたファイルを検査して、無害なファイル、悪質なファイル、または不審なファイルかを判断します。NSX では、ファイルの固有の検査が 1 つのファイル イベントとしてカウントされます。つまり、ファイル イベントは一意のファイル検査を指します。

ユーザー インターフェイスを使用した NSX マルウェア防止ファイル イベントのモニタリングの詳細については、ファイル イベントのモニタリングを参照してください。

NSX マルウェア防止ファイル イベント API を使用したファイル イベントのモニタリングの詳細については、VMware 開発者向けドキュメントポータルにあるドキュメントを参照してください。