分散ファイアウォールの NSX マルウェア防止は、NSX ゲスト イントロスペクション (GI) フレームワークを使用します。ゲスト エンドポイント(仮想マシン)でマルウェアを検出して防止するには、NSX 用に準備された ESXi ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する必要があります。
- 4 個の vCPU
- 6 GB の RAM
- 80 GB のディスク容量
ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する前に、次のセクションで説明する前提条件を満たす必要があります。いくつかの前提条件がすでに完了している場合は、それらをスキップして、保留中の前提条件に進みます。
NSX での適切なライセンスの追加
NSX マルウェア防止 機能を使用するには、NSX が適切なライセンスを使用する必要があります。NSX マルウェア防止 をサポートするライセンスの詳細については、NSX IDS/IPS と NSX マルウェア防止のシステム要件を参照してください。
- NSX Manager で、 の順に移動します。
- ライセンス キーを入力します。
すべてのホストが VMware vCenter によって管理されていることの確認
NSX マルウェア防止 機能は、1 つ以上の vCenter Server によって管理されている vSphere ホスト クラスタでのみサポートされます。
- NSX Manager で、 に移動します。
- [クラスタ] タブが開かれていることを確認します。
vSphere ホスト クラスタのリストが表示されます。このリストに、マルウェア防止を有効にする目的のホスト クラスタが含まれていることを確認します。
トランスポート ノードとしてのホストの構成
vSphere ホスト クラスタにトランスポート ノード プロファイルを適用して、vSphere ホストをホスト トランスポート ノードとして構成します。
SVM への SSH アクセス用のパブリック/プライベート キー ペアの生成
トラブルシューティング目的で SVM からログ ファイルをダウンロードするには、NSX マルウェア防止 SVM への読み取り専用 SSH アクセスが必要です。
SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。
任意の SSH キー生成ツールを使用して、パブリック キーとプライベート キーのペアを生成できます。ただし、次のサブセクションで説明するように、パブリック キーは特定の形式に従う必要があります。SSH キー生成ツールの例として、ssh-keygen、PuTTY Key Generator などがあります。サポートされるキー サイズは、1024 ビット、2048 ビット、4096 ビットです。
- パブリック キーの形式
-
パブリック キーは次の形式に従う必要があります。
例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022
PuTTY Key Generator を使用している場合は、パブリック キーがユーザー インターフェイスから直接コピーされていることを確認します。キー ペアが存在する場合は、まず PuTTY Key Generator のユーザー インターフェイスでプライベート キー ファイルをロードしてから、[Key] テキスト ボックスに表示されているパブリック キーをコピーします。パブリック キー ファイルからコンテンツをコピーしないでください。コピーされたコンテンツの形式は異なる場合があり、サービス仮想マシンでは機能しない可能性があります。
Linux システムで ssh-keygen ユーティリティを使用してキー ペアを生成する場合、パブリック キーのキー形式には常に ssh-rsa が含まれます。したがって、Linux システムでは、パブリック キー ファイルからコンテンツをコピーできます。
- 推奨のプラクティス
-
NSX Distributed Malware Prevention サービスの展開は、ホスト クラスタのレベルで実行されます。そのため、キー ペアはホスト クラスタに関連付けられています。各クラスタのサービス展開用に新しいパブリック/プライベート キー ペアを作成することも、すべてのクラスタのサービス展開に単一のキー ペアを使用することもできます。
クラスタごとにサービス展開に別のパブリック/プライベート キー ペアを使用する場合は、識別しやすいよう、キー ペアに正しい名前が付けられていることを確認します。
コンピュート クラスタ ID を使用して各サービス展開を特定し、キー ペアの名前にクラスタ ID を指定することをお勧めします。たとえば、クラスタ ID が 1234-abcd とします。このクラスタで、サービス展開名を MPS-1234-abcd とすると、このサービス展開にアクセスするためのキー ペアに id_rsa_1234_abcd.pem という名前を付けることができます。この方法により、各サービス展開で使用されるキーの管理と関連付けを簡単に行うことができます。
重要: プライベート キーは安全に保管してください。プライベート キーが失われると、 NSX マルウェア防止 SVM への SSH アクセスができなくなります。
NSX Application Platform の展開
NSX Application Platform は、ネットワーク トラフィック データを収集、取り込み、関連付けるいくつかの NSX 機能をホストする最新のマイクロサービス プラットフォームです。
プラットフォームの展開の詳細な手順については、https://docs.vmware.com/jp/VMware-NSX/index.htmlにある『VMware NSX Application Platform の展開と管理』を参照してください。リンク先の左側のナビゲーション ペインで、バージョン 4.0 以降を展開して、ドキュメント名をクリックします。
NSX マルウェア防止 機能の有効化
詳細な手順については、NSX マルウェア防止の有効化を参照してください。
この機能を有効にすると、NSX マルウェア防止 に必要なマイクロサービスが NSX Application Platform で実行を開始します。
- NSX Manager で、 の順に移動します。
- ページを下にスクロールして、[機能] セクションを表示します。
- [NSX Malware Prevention] 機能カードで、[状態] が「稼動中」になっていることを確認します。
状態が「停止」の場合は、状態が「稼動中」に変わるまで待ってから、次の手順に進みます。
ゲスト仮想マシンの仮想マシン ハードウェア構成の確認
- vSphere Client にログインします。
- [ホストおよびクラスタ] に移動し、クラスタに移動します。
- クラスタ内の仮想マシンを 1 つずつクリックします。
- [サマリ] ページで、[仮想マシンのハードウェア] ペインを展開し、仮想マシンの互換性情報を確認します。仮想マシンのバージョン番号は 9 以降にする必要があります。
NSX ファイル イントロスペクション ドライバのインストール
NSX ファイル イントロスペクション ドライバは、Windows 用の VMware Tools に含まれています。ただし、このドライバは、デフォルトの VMware Tools インストールの一部ではありません。このドライバをインストールするには、カスタム インストールまたは完全インストールを実行し、NSX ファイル イントロスペクション ドライバを選択する必要があります。
Linux 用ファイル イントロスペクション ドライバは、オペレーティング システム固有パッケージ (OSP) の一部として使用できます。パッケージは、VMware パッケージ ポータルにホストされます。Enterprise Administrator または Security Administrator(NSX Administrator ではない)は、NSX の外にある Linux ゲスト仮想マシンに、ゲスト イントロスペクション シン エージェントをインストールすることもできます。Linux では、open-vm-tools または VM Tools をインストールする必要はありません。
NSX マルウェア防止 サービス仮想マシンの OVA ファイルのダウンロード
- Broadcom サポート ポータルにログインして、[My Downloads] ページを開きます。
- [すべての製品] ドロップダウン メニューから、[ネットワークとセキュリティの] を選択します。
- VMware NSX® の横にある [製品のダウンロード] をクリックします。[VMware NSX のダウンロード] ページが開きます。
- 使用している NSX ライセンスを見つけて、[ダウンロードに移動] をクリックします。
- NSX SVM アプライアンス (VMware-NSX-Malware-Prevention-appliance-version_number.build_number.ova) の OVA ファイルをダウンロードします。
- 次のコマンドを使用して、OVA ファイルを抽出します。
tar -xvf filename.ova
filename は、前の手順でダウンロードした OVA ファイルの正確な名前に置き換えます。
OVA ファイルが抽出されたルート ディレクトリに、次の 4 つのファイルがあることを確認します。
- OVF ファイル (.ovf)
- マニフェスト ファイル (.mf)
- 証明書ファイル (.cert)
- 仮想マシン ディスク ファイル (.vmdk)
- 次の前提条件を満たす Web サーバに、抽出されたすべてのファイルをコピーします。
- Web サーバには HTTP 経由の非認証アクセスが必要です。
- Web サーバは、NSX Manager、NSX マルウェア防止 SVM を展開するすべての ESXi ホスト、NSX に登録されている VMware vCenter にアクセスできる必要があります。
- 抽出されたファイルの MIME タイプを Web サーバに追加する必要があります。MIME タイプを Web サーバに追加する方法については、Web サーバのドキュメントを参照してください。
ファイル拡張子 MIME タイプ .ovf
application/vmware
.vmdk
application/octet-stream
.mf
text/cache-manifest
.cert
application/x-x509-user-cert
NSX Distributed Malware Prevention サービスの登録
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
- Web サーバ上の OVF ファイルの完全パス
- 展開仕様の名前(VMware vCenter では、SVM はこの名前で識別されます)
- SVM のバージョン番号
{ "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf", "deployment_spec_name" : "NSX_Distributed_MPS", "svm_version" : "3.2" }
この POST API の svm_version パラメータには、サンプル値が示されています。ダウンロードした SVM アプライアンス バージョンの値を指定できます。
応答の例など、この API の詳細については、Broadcom Developer Portal にある Malware Prevention API のドキュメントを参照してください。
- NSX Manager で、 に移動します。
- [VMware NSX Distributed Malware Prevention Service] がページに表示されていることを確認します。