NSX Intrusion Detection and Prevention Service (IDS/IPS) の目的は、ホストと Edge のネットワーク トラフィックをモニターし、既知のシグネチャ セットとトラフィックを比較して悪意のあるアクティビティを検出することです。NSX Malware Preventionの目的は、ホストおよび Edge 上のネットワーク トラフィックからファイルを抽出し、これらのファイルを分析して悪意のある動作を分析することです。
NSX 侵入検知/防止サービスの概要
NSX IDS/IPS は、ホスト上のネットワーク トラフィックをモニターし、トラフィックをシグネチャと比較して不審なアクティビティを検出します。シグネチャは、検出と報告が必要なネットワーク侵入のタイプのパターンを指定します。シグネチャに一致するトラフィック パターンが見つかると、アラートを生成したり、トラフィックの宛先への到達をブロックするなど、事前定義されたアクションが実行されます。
- ナレッジベースのシグネチャ:ナレッジベースのシグネチャには、既知のタイプの攻撃に対応する特定の情報またはパターンが組み込まれています。このアプローチでは、IDS はシグネチャで指定された既知の悪質な命令シーケンスに基づいて侵入を検出しようとします。したがって、ナレッジベースのシグネチャは、すでに知られている攻撃に限定されるため、標的型またはゼロデイの脅威には対応できません。
- 動作ベースの検出:動作ベースの検出は、ベースラインまたは通常のトラフィックとは異なるイベントや異常なイベントを特定することによって、アノマリな動作を特定しようとします。
これらのイベントは情報と呼ばれ、ネットワーク内の異常なアクティビティを特定するイベントで構成されます。これは、必ずしも悪質とは限りませんが、侵害の調査に有益な情報を提供する可能性があります。シグネチャは、IDS エンジンを再コンパイルまたは変更することなく更新できるカスタム検出ロジックと一緒にバンドルされます。動作ベースの検出では、新しい IDS 侵入の重要度レベルが「不審」になっています。
- マルチ テナント
-
マルチテナントは、
NSX IDS/IPS でサポートされます。マルチテナントを使用すると、単一の
NSX 環境で複数のテナントを構成できます。マルチテナントを使用すると、テナント間でセキュリティとネットワーク構成を分離できます。
NSX IDS/IPS マルチテナントには、次の条件が適用されます。
- シグネチャ管理と NSX IDS/IPS の設定は、デフォルトのプロジェクトでのみ使用できます。カスタム プロジェクトでは使用できません。
- プロジェクト間で構成の分離はありません。
- プロファイルとルールは、デフォルト プロジェクトとカスタム プロジェクトの両方から管理できます。
- デフォルトのプロジェクトで作成されたルールに、テナント コンテキストはありません。
- ユーザーは、カスタム プロジェクトにルールを作成できます。このルールにはテナント コンテキストがあります。
- カスタム プロジェクトに対してトリガされたイベントには、テナント コンテキストがあります。
- カスタム プロジェクトの場合、NSX IDS/IPS モニタリング ダッシュボードには、そのプロジェクトに対してのみトリガされたイベントが表示されます。
NSX Malware Preventionの概要
-
- ハッシュベースでの既知の悪質なファイルの検出
- 不明なファイルのローカル分析
- 不明なファイルのクラウド分析
マルウェアの分析でサポートされるファイル サイズの上限は 64 MB です。
- NSX Distributed Malware Prevention
-
分散ファイアウォールでのマルウェアの検出と防止は、NSX 用に準備された vSphere ホスト クラスタで実行されている Windows および Linux のゲスト エンドポイント(仮想マシン)の両方でサポートされます。
ファイルのすべてのカテゴリのローカル分析とクラウド分析がサポートされます。サポートされているファイル カテゴリのリストについては、NSX Malware Preventionでサポートされるファイル カテゴリを参照してください。
- ゲートウェイ ファイアウォールの NSX Malware Prevention
-
ゲートウェイ ファイアウォールでは、マルウェアの検出のみがサポートされます。マルウェア ファイルのすべてのカテゴリのローカル分析とクラウド分析がサポートされます。サポートされているファイル カテゴリのリストを表示するには、「NSX Distributed Malware Prevention」セクションに記載されているハイパーリンク付きのトピックを参照してください。
North-South トラフィックに対して、NSX Malware Prevention機能は、NSX Edge の IDS/IPS エンジンを使用して、データセンターに入るファイルを抽出またはインターセプトします。East-West トラフィックに対して、この機能は NSX ゲスト イントロスペクション (GI) プラットフォームの機能を使用します。ファイルが NSX Edge の検証をバイパスしてホストに到達すると、ファイルはゲスト仮想マシン上の GI シン エージェントによって抽出されます。
ゲスト仮想マシンでマルウェアを検出して防止するには、ゲスト仮想マシンに NSX ゲスト イントロスペクション シン エージェントをインストールして、NSX 用に準備された vSphere ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する必要があります。このサービスを展開すると、サービス仮想マシン (SVM) が vSphere クラスタの各ホストにインストールされ、ホスト クラスタで NSX Malware Preventionが有効になります。
Windows 用の NSX ゲスト イントロスペクション シン エージェント ドライバは、VMware Tools に含まれています。NSX のバージョンでサポートされている VMware Tools のバージョンについては、VMware 製品の相互運用性マトリックスを参照してください。特定の VMware Tools バージョンでサポートされている Windows ゲスト OS の一覧については、VMware Tools のドキュメントで、該当するバージョンのリリース ノートを参照してください。
Linux 用ゲスト イントロスペクション シン エージェントは、オペレーティング システム固有パッケージ (OSP) の一部として使用できます。パッケージは、VMware パッケージ ポータルにホストされます。Linux では、open-vm-tools または VM Tools をインストールする必要はありません。サポートされている Linux ゲスト OS のバージョンのリストを表示するには、Linux 仮想マシンへのアンチウイルス用ゲスト イントロスペクション シン エージェントのインストールの「前提条件」セクションを参照してください。
- NSX Malware Preventionファイル イベント
-
ファイル イベントは、NSX Edge 上の IDS エンジンが North-South トラフィックからファイルを抽出したときと、仮想マシン エンドポイント上の NSX ゲスト イントロスペクション エージェントが East-West 分散トラフィックからファイルを抽出したときに生成されます。
NSX Malware Prevention機能は、抽出されたファイルを検査して、無害なファイル、悪質なファイル、または不審なファイルかを判断します。NSX では、ファイルの固有の検査が 1 つのファイル イベントとしてカウントされます。つまり、ファイル イベントは一意のファイル検査を指します。
ユーザー インターフェイスを使用した NSX Malware Preventionファイル イベントのモニタリングの詳細については、ファイル イベントのモニタリングを参照してください。
NSX Malware Preventionファイル イベント API を使用したファイル イベントのモニタリングの詳細については、VMware 開発者向けドキュメントポータルにあるドキュメントを参照してください。