이 항목은 서비스 삽입 및 NSX Guest Introspection 플랫폼 구성 요소의 주요 개념과 아키텍처를 설명하는 데 도움이 됩니다.
참고: 다이어그램에서 파란색 블록은
NSX Guest Introspection 플랫폼 구성 요소이고 녹색 블록은 끝점 보호 소비자 구성 요소입니다.
핵심 개념:
- NSX Manager: 네트워크 및 보안 정책 구성을 위해 고객 및 파트너에게 API 및 그래픽 사용자 인터페이스를 제공하는 NSX용 관리부 장치입니다. Guest Introspection의 경우 NSX Manager는 파트너 장치를 배포 및 관리하기 위한 API 및 GUI를 제공합니다.
- Guest Introspection SDK: 보안 벤더에서 사용하는 VMware 제공 라이브러리입니다.
-
서비스 VM: VMware에서 제공한 Guest Introspection SDK를 사용하는 보안 벤더 제공 Vm입니다. 게스트에서 바이러스 또는 맬웨어를 감지하기 위해 파일, 프로세스, 네트워크 및 시스템 이벤트를 스캔하는 논리가 포함되어 있습니다. 요청을 검색한 후에는 요청에서 게스트 VM이 수행한 작업에 대한 결과 또는 알림을 다시 전송합니다.
- Guest Introspection 호스트 에이전트(컨텍스트 멀티플렉서): 끝점 보호 정책의 구성을 처리합니다. 또한 보호된 VM의 메시지를 멀티플렉싱하고 서비스 VM으로, 서비스 VM에서 다시 보호된 VM으로 전달합니다. Guest Introspection 플랫폼의 상태를 보고하고 서비스 VM 구성의 기록을
muxconfig.xml파일에 유지합니다. - Ops 에이전트(컨텍스트 엔진 및 Guest Introspection 클라이언트): Guest Introspection 구성을 Guest Introspection 호스트 에이전트(컨텍스트 멀티플렉서)로 전달합니다. 또한 솔루션의 상태를 NSX Manager로 릴레이합니다.
- EAM: NSX Manager는 ESXi Agent Manager를 사용하여 보호를 위해 구성된 클러스터의 모든 호스트에 파트너 서비스 VM을 배포합니다.
-
Thin Agent: 게스트 VM에서 실행되는 파일 및/또는 네트워크 자체 검사 에이전트입니다. 호스트 에이전트를 통해 서비스 VM으로 전달되는 파일 및 네트워크 활동이나 이벤트를 가로챕니다. Windows에서는 이 에이전트는 VMware Tools에 속합니다. Linux에서는 이 에이전트가 VMware Tools 외부에 있습니다. NSX에 대한 게스트 내 컨텍스트를 제공하며 바이러스 백신 또는 맬웨어 방지 보안 벤더가 제공하는 기존 에이전트 대신 사용할 수도 있습니다. 이는 벤더가 제공한 서비스 VM을 검색하기 위해 파일 및 프로세스를 용이하게 오프로드하도록 하는 일반적인 경량 에이전트입니다.
Guest Introspection 플랫폼을 사용하여 게스트 VM 끝점을 보호하면 다음과 같은 이점이 있습니다.
- 계산 리소스 사용량 감소: Guest Introspection은 호스트의 각 끝점에서 호스트의 타사 파트너 서비스 VM으로 서명 및 보안 검색 논리를 오프로드합니다. 스캔은 서비스 VM에서만 발생하므로 스캔을 실행하기 위해 게스트 VM의 계산 리소스를 소비할 필요가 없습니다.
-
보다 효율적인 관리: 스캔을 서비스 VM으로 오프로드하면 호스트당 하나의 개체로만 서명을 업데이트해야 합니다. 이와 같은 메커니즘은 동일한 서명을 모든 게스트 VM에서 업데이트해야 하는 에이전트 기반 솔루션보다 더 잘 작동합니다.
- 지속적인 바이러스 백신 및 맬웨어 방지 보호: 서비스 VM이 계속해서 실행되므로 게스트 VM이 최신 서명을 실행하도록 위임되지 않습니다. 예를 들어, 스냅샷 VM은 이전 버전의 서명을 실행하여 끝점을 보호하는 기존 방식으로 보호할 수 있습니다. Guest Introspection 플랫폼을 사용하면 서비스 VM이 최신 및 맬웨어 서명을 계속 실행하여 새로 추가된 VM도 최신 서명으로 보호되도록 합니다.
- 서비스 VM으로 서명 오프로드: 데이터베이스 수명 주기가 게스트 VM 수명 주기를 벗어나며 서비스 VM이 게스트 VM 중단의 영향을 받지 않습니다.
