データセンターで適切なライセンスが使用されている場合にのみ、NSX 環境で NSX IDS/IPS および NSX マルウェア防止機能を設定できます。

NSX Advanced Threat Prevention ソリューションの実行に必要なライセンスの詳細については、ライセンス タイプの「セキュリティ ライセンス」セクションを参照してください。

NSX 侵入検知/防止および NSX マルウェア防止のためのデータセンターの準備には、複数の手順が含まれます。これらの手順を実行するには、[IDS/IPS とマルウェア防止の設定] ウィザードを使用します。

設定ウィザードは、この 2 つのセキュリティ機能用にデータセンターを準備するための一連の手順を実行します。これはオンボーディング プロセスに似ています。このウィザードを実行するには、[セキュリティ] > [IDS/IPS とマルウェア防止] に移動します。

適切なライセンスが追加されていないことを NSX が検出すると、次のテキストがページに表示されます。

IDS/IPS とマルウェア防止は、現在のライセンスではサポートされていません。

適切なライセンスが追加されたことを NSX が検出すると、ページに [設定の開始] ボタンと [設定をスキップ] ボタンが表示されます。

設定牛ザードを開始するには、[設定の開始] をクリックします。画面の指示とこのドキュメントに従って、ウィザードの手順を完了します。

  • 任意のステージで進行状況を保存してウィザードを終了する場合は、[メイン画面に戻る] をクリックします。後で、中断した場所から設定を続行できます。
  • 設定ウィザードをリセットし、最初からやり直す場合は、[キャンセル] をクリックします。設定をキャンセルすると、ウィザードで行った選択内容は削除されますが、ウィザードで完了した展開は削除されません。たとえば、ウィザードをリセットする前に NSX Application PlatformNSX マルウェア防止サービス仮想マシンをホスト クラスタに展開している場合、これらの展開は保持されます。
  • 設定ウィザードを使用せずに後で 2 つのセキュリティ機能を設定する場合は、[設定をスキップ] をクリックします。NSX Manager は、今後このウィザードを表示しません。後で、[セキュリティ] > [IDS/IPS とマルウェア防止] > [設定] に移動して、データセンターに両方の機能を設定できます。[IDS/IPS とマルウェア防止の設定] ページの使用方法についてはNSX IDS/IPS および NSX マルウェア防止設定の構成を参照してください。
デフォルトでは、[IDS/IPS とマルウェア防止] 機能カードのすべてのチェック ボックスが設定対象として選択されています。必要に応じて選択内容を編集できます。続行する準備ができたら、 [次へ] をクリックします。次の表で説明するように、選択内容によってウィザードに表示されるタブが変わります。
注: NSX Application PlatformNSX マルウェア防止の前提条件ですが、 NSX IDS/IPS では必須ではありません。
選択した機能 表示されるタブ

East-West トラフィックの IDS/IPS

または

North-South トラフィックの IDS/IPS

NSX プロキシの構成

シグネチャの管理

ノードを有効にする

East-West トラフィックのみのマルウェア防止

NSX プロキシの構成

NSX Application Platform の展開

サービス仮想マシンの展開

North-South トラフィックのみのマルウェア防止

NSX プロキシの構成

NSX Application Platform の展開

ノードを有効にする

East-West トラフィックと North-South トラフィックの両方でのマルウェア防止

NSX プロキシの構成

NSX Application Platform の展開

サービス仮想マシンの展開

ノードを有効にする

すべての機能を選択

ウィザードの 5 つのタブがすべて表示されます。

インターネット接続用の NSX プロキシ サーバの構成

NSX IDS/IPS が機能するには、必ずしもインターネット接続は必要ありません。NSX IDS/IPS は、侵入の検出と防止にシグネチャを使用します。NSX 環境がインターネットに接続している場合、NSX Manager はインターネットから直接、または NSX プロキシ サーバを介して、最新の侵入検知シグネチャを自動的にダウンロードできます。NSX 環境でインターネット接続が構成されていない場合は、API を使用して NSX 侵入検知シグネチャ バンドル (.zip) ファイルを手動でダウンロードし、それを NSX Manager にアップロードできます。シグネチャの手動アップロードの詳細については、「オフラインでの NSX 侵入検知シグネチャのダウンロードとアップロード」を参照してください。

NSX マルウェア防止 はまた、マルウェアの検出と防止にシグネチャを使用します。ただし、NSX Manager は、NSX 環境がインターネットに接続できる場合にのみ、最新のシグネチャをダウンロードできます。最新のシグネチャを手動で NSX Manager にアップロードすることはできません。NSX マルウェア防止 はまた、詳細なクラウド ファイル分析のためにファイルを NSX Advanced Threat Prevention クラウド サービスに送信します。ファイルは、NSX Manager ではなく、NSX Application Platform によってクラウドに送信されます。NSX Application Platform はプロキシ サーバの構成をサポートしていないため、インターネットに直接アクセスする必要があります。

NSX Manager が NSX プロキシ サーバ経由でインターネットにアクセスする場合は、 [NSX プロキシ サーバに移動] リンクをクリックして、次の設定を指定します。
  • スキーム(HTTP または HTTPS)
  • ホストの IP アドレス
  • ポート番号
  • ユーザー名とパスワード

NSX Application Platform の展開

NSX マルウェア防止では、特定のマイクロサービスを NSX Application Platform に展開する必要があります。まず、NSX Application Platform を展開してから、NSX マルウェア防止機能を有効にする必要があります。この機能を有効にすると、NSX マルウェア防止に必要なマイクロサービスがプラットフォームに展開されます。

要約すると、次のタスクを所定の順序で実行する必要があります。
  1. NSX Application Platform の展開
  2. NSX マルウェア防止の有効化
注: NSX Application PlatformNSX マルウェア防止機能のバージョン管理は、 NSX の製品バージョン番号ではなく、 NSX Application Platform のバージョン番号と一致します。

サービス仮想マシンの展開

データセンター内の East-West トラフィックの場合は、NSX 用に準備された vSphere ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する必要があります。このサービスを展開すると、サービス仮想マシン (SVM) が vSphere クラスタの各ホストにインストールされ、ホスト クラスタで NSX マルウェア防止が有効になります。

このページのドーナツ グラフには、データセンターで NSX Distributed Malware Prevention サービスが展開されているホスト クラスタと展開されていないホスト クラスタの数が表示されます。

ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する方法の詳細については、NSX Distributed Malware Prevention サービスの展開を参照してください。

ホスト クラスタでサービスの展開が完了したら、ウィザードのこのページに戻り、[次へ] をクリックして続行します。

注: 高可用性は、 NSX Distributed Malware Prevention サービスのサービス仮想マシンでサポートされていません。

シグネチャの管理

データセンターでインターネット接続が構成されている場合、NSX Manager は、デフォルトで 20 分ごとにクラウド上の新しい侵入検知シグネチャの可用性を確認します。新しい更新が利用可能になると、各ページのバナーに [今すぐ更新] リンクが表示されます。

データセンターがインターネットに接続していない場合は、IDS シグネチャ バンドル (.zip) ファイルを手動でダウンロードして、NSX Manager にアップロードできます。詳細な手順については、オフラインでの NSX 侵入検知シグネチャのダウンロードとアップロードを参照してください。

シグネチャの管理

シグネチャの管理タスクはオプションです。必要に応じて、後で [セキュリティ] > [IDS/IPS とマルウェア防止] > [設定] > [IDS/IPS] に移動して実行できます。

  • シグネチャのバージョンを表示したり、デフォルト以外の別のバージョンのシグネチャを追加するには、[表示して変更] をクリックします。

    現在、シグネチャの 2 つのバージョンが維持されます。バージョンのコミット識別番号が変更されるたびに、新しいバージョンがダウンロードされます。

  • クラウドから侵入検知シグネチャを自動的にダウンロードして、データセンター内のホストと Edge に適用するには、[自動更新] をオンにします。

    このオプションをオフにすると、シグネチャの自動ダウンロードが停止します。IDS シグネチャ バンドル (.zip) ファイルを手動でダウンロードしてから、ファイルを NSX Manager にアップロードできます。

  • トランスポート ノードでのシグネチャのダウンロードの状態を表示するには、[状態] フィールドのリンクをクリックします。
  • 特定のシグネチャをグローバルに除外したり、そのアクションをアラート、ドロップ、または却下に変更するには、[シグネチャ セットの表示と管理] をクリックします。

    シグネチャに [アクション] を選択し、[保存] をクリックします。グローバル シグネチャ管理の設定で行った変更は、すべての IDS/IPS プロファイルに適用されます。ただし、IDS/IPS プロファイルのシグネチャ設定を更新する場合は、プロファイル設定が優先されます。

    次の表で、各シグネチャ アクションの意味について説明します。

    アクション 説明

    アラート

    アラートが生成されますが、予防処置は自動的には実行されません。

    ドロップ

    アラートが生成され、問題のあるパケットがドロップされます。

    却下

    アラートが生成され、問題のあるパケットがドロップされます。TCP フローの場合、IDS によって TCP リセット パケットが生成され、接続の送信元と宛先に送信されます。その他のプロトコルの場合は、接続の送信元と宛先に ICMP エラー パケットが送信されます。

IDS/IPS およびマルウェア防止のためのノードの有効化

[East-West トラフィックでホストとクラスタを有効にする] セクションで、次の構成を行います。

  • スタンドアローン ESXi ホストで NSX IDS/IPS を有効にします。
  • East-West トラフィックで NSX IDS/IPS を有効にする ESXi ホスト クラスタを選択します。
  • NSX Distributed Malware Prevention サービスが ESXi ホスト クラスタに展開されていない場合は、[マルウェア防止] 列の [サービス仮想マシンの展開で定義] リンクをクリックします。ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する手順については、NSX Distributed Malware Prevention サービスの展開を参照してください。
注:
  • 分散ロード バランサを使用する環境では、NSX Distributed IDS/IPS を有効にしないでください。NSX は、分散ロード バランサでの IDS/IPS をサポートしていません。
  • NSX Distributed IDS/IPS を機能させるには、分散ファイアウォール (DFW) を有効にする必要があります。トラフィックが DFW ルールでブロックされると、IDS/IPS はトラフィックを確認できません。
[North-South トラフィックでゲートウェイを有効にする] セクションで、次の構成を行います。
  • North-South トラフィックで NSX IDS/IPS を有効にする Tier-1 ゲートウェイを選択します。
  • North-South トラフィックで NSX マルウェア防止を有効にする Tier-1 ゲートウェイを選択します。
重要: NSX では、North-South トラフィックに対して次のようにサポートされます。
  • NSX マルウェア防止機能は、Tier-1 ゲートウェイでのみサポートされます。
  • ゲートウェイ ファイアウォール機能の NSX IDS/IPS は、Tier-1 ゲートウェイでのみサポートされます。