分散ファイアウォールの NSX Malware Preventionは、NSX ゲスト イントロスペクション (GI) フレームワークを使用します。ゲスト エンドポイント(仮想マシン)でマルウェアを検出して防止するには、NSX 用に準備された ESXi ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する必要があります。

ホスト クラスタにサービスを展開すると、 NSX Malware Prevention サービス仮想マシン (SVM) のインスタンスがクラスタの各ホストに展開されます。現在、固定サイズの SVM が展開されます。クラスタの各ホストには、次のリソースが必要です。
  • 4 個の vCPU
  • 6 GB の RAM
  • 80 GB のディスク容量

ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する前に、次のセクションで説明する前提条件を満たす必要があります。いくつかの前提条件がすでに完了している場合は、それらをスキップして、保留中の前提条件に進みます。

NSX での適切なライセンスの追加

NSX Malware Prevention 機能を使用するには、NSX が適切なライセンスを使用する必要があります。NSX Malware Prevention をサポートするライセンスの詳細については、NSX IDS/IPS と NSX Malware Preventionのシステム要件を参照してください。

ライセンスを追加するには:
  1. NSX Manager で、[システム] > [ライセンス] > [ライセンスの追加] の順に移動します。
  2. ライセンス キーを入力します。

すべてのホストが VMware vCenter によって管理されていることの確認

NSX Malware Prevention 機能は、1 つ以上の vCenter Server によって管理されている vSphere ホスト クラスタでのみサポートされます。

  1. NSX Manager で、[システム] > [ファブリック] > [ホスト] に移動します。
  2. [クラスタ] タブが開かれていることを確認します。

    vSphere ホスト クラスタのリストが表示されます。このリストに、マルウェア防止を有効にする目的のホスト クラスタが含まれていることを確認します。

トランスポート ノードとしてのホストの構成

vSphere ホスト クラスタにトランスポート ノード プロファイルを適用して、vSphere ホストをホスト トランスポート ノードとして構成します。

注: 環境内にサブクラスタがある場合、または複数のアベイラビリティ ゾーンにまたがる VMware Cloud Foundation (VCF) 展開がある場合は、 NSX Distributed Malware Prevention サービスを展開する前にサブクラスタを構成してください。
詳細な手順については、『 NSX インストール ガイド』の次のトピックを参照してください。

SVM への SSH アクセス用のパブリック/プライベート キー ペアの生成

トラブルシューティング目的で SVM からログ ファイルをダウンロードするには、NSX Malware Prevention SVM への読み取り専用 SSH アクセスが必要です。

SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。

任意の SSH キー生成ツールを使用して、パブリック キーとプライベート キーのペアを生成できます。ただし、次のサブセクションで説明するように、パブリック キーは特定の形式に従う必要があります。SSH キー生成ツールの例として、ssh-keygen、PuTTY Key Generator などがあります。サポートされるキー サイズは、1024 ビット、2048 ビット、4096 ビットです。

パブリック キーの形式
パブリック キーは次の形式に従う必要があります。
例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

PuTTY Key Generator を使用している場合は、パブリック キーがユーザー インターフェイスから直接コピーされていることを確認します。キー ペアが存在する場合は、まず PuTTY Key Generator のユーザー インターフェイスでプライベート キー ファイルをロードしてから、[Key] テキスト ボックスに表示されているパブリック キーをコピーします。パブリック キー ファイルからコンテンツをコピーしないでください。コピーされたコンテンツの形式は異なる場合があり、サービス仮想マシンでは機能しない可能性があります。

Linux システムで ssh-keygen ユーティリティを使用してキー ペアを生成する場合、パブリック キーのキー形式には常に ssh-rsa が含まれます。したがって、Linux システムでは、パブリック キー ファイルからコンテンツをコピーできます。

推奨のプラクティス

NSX Distributed Malware Prevention サービスの展開は、ホスト クラスタのレベルで実行されます。そのため、キー ペアはホスト クラスタに関連付けられています。各クラスタのサービス展開用に新しいパブリック/プライベート キー ペアを作成することも、すべてのクラスタのサービス展開に単一のキー ペアを使用することもできます。

クラスタごとにサービス展開に別のパブリック/プライベート キー ペアを使用する場合は、識別しやすいよう、キー ペアに正しい名前が付けられていることを確認します。

コンピュート クラスタ ID を使用して各サービス展開を特定し、キー ペアの名前にクラスタ ID を指定することをお勧めします。たとえば、クラスタ ID が 1234-abcd とします。このクラスタで、サービス展開名を MPS-1234-abcd とすると、このサービス展開にアクセスするためのキー ペアに id_rsa_1234_abcd.pem という名前を付けることができます。この方法により、各サービス展開で使用されるキーの管理と関連付けを簡単に行うことができます。

重要: プライベート キーは安全に保管してください。プライベート キーが失われると、 NSX Malware Prevention SVM への SSH アクセスができなくなります。

NSX アプリケーション プラットフォーム の展開

NSX アプリケーション プラットフォーム は、ネットワーク トラフィック データを収集、取り込み、関連付けるいくつかの NSX 機能をホストする最新のマイクロサービス プラットフォームです。

プラットフォームの展開の詳細な手順については、https://docs.vmware.com/jp/VMware-NSX/index.htmlにある『VMware NSX Application Platform の展開と管理』を参照してください。リンク先の左側のナビゲーション ペインで、バージョン 4.0 以降を展開して、ドキュメント名をクリックします。

NSX Malware Prevention 機能の有効化

詳細な手順については、NSX Malware Preventionの有効化を参照してください。

この機能を有効にすると、NSX Malware Prevention に必要なマイクロサービスが NSX アプリケーション プラットフォーム で実行を開始します。

次の手順に進む前に、 NSX アプリケーション プラットフォームNSX Malware Prevention 機能の状態を確認します。次の操作を行います。
  1. NSX Manager で、[システム] > [NSX Application Platform] の順に移動します。
  2. ページを下にスクロールして、[機能] セクションを表示します。
  3. [NSX マルウェア防止] 機能カードで、[状態] が「稼動中」になっていることを確認します。

状態が「停止」の場合は、状態が「稼動中」に変わるまで待ってから、次の手順に進みます。

ゲスト仮想マシンの仮想マシン ハードウェア構成の確認

ゲスト仮想マシンで仮想マシン ハードウェア構成バージョン 9 以降が実行されていることを確認します。次の操作を行います。
  1. vSphere Client にログインします。
  2. [ホストおよびクラスタ] に移動し、クラスタに移動します。
  3. クラスタ内の仮想マシンを 1 つずつクリックします。
  4. [サマリ] ページで、[仮想マシンのハードウェア] ペインを展開し、仮想マシンの互換性情報を確認します。仮想マシンのバージョン番号は 9 以降にする必要があります。
例:
互換性情報がハイライト表示された [仮想マシンのハードウェア] ペイン。

NSX ファイル イントロスペクション ドライバのインストール

NSX ファイル イントロスペクション ドライバは、Windows 用の VMware Tools に含まれています。ただし、このドライバは、デフォルトの VMware Tools インストールの一部ではありません。このドライバをインストールするには、カスタム インストールまたは完全インストールを実行し、NSX ファイル イントロスペクション ドライバを選択する必要があります。

Linux 用ファイル イントロスペクション ドライバは、オペレーティング システム固有パッケージ (OSP) の一部として使用できます。パッケージは、VMware パッケージ ポータルにホストされます。Enterprise Administrator または Security Administrator(NSX Administrator ではない)は、NSX の外にある Linux ゲスト仮想マシンに、ゲスト イントロスペクション シン エージェントをインストールすることもできます。Linux では、open-vm-tools または VM Tools をインストールする必要はありません。