VMware Hands-on Labs - HOL-SDC-1425_JA


【HOL-SDC-1425】対応 NSX とトレンドマイクロ Deep Security で実現するマイクロセグメンテーション実践ガイド

目次


  1. はじめに  ブラウザの設定など
  2. NSXとDeepSecurityで実現されるマイクロセグメンテーションとは
  3. ハンズオン手順
  4. 終わりに

1. はじめに ブラウザの設定など



 

はじめに  ブラウザの設定など

 

このラボではFirefoxを利用します。デフォルトでは英語設定となっていますが、ブラウザの言語を日本語設定に変えることで、日本語環境でラボを実施することが可能です。お好みに応じ変更下さい。

 

 

制限時間があります

 

ハンズオンラボには制限時間がありますのでご注意下さい。

 

2. NSXとDeepSecurityで実現されるマイクロセグメンテーションとは



 

NSXとDeepSecurityで実現されるマイクロセグメンテーションとは

 

これまで重点が置かれていたセキュリティモデルは、主に出入り口対策(境界型セキュリティ)でした。しかしこの従来型のセキュリティモデルでは、一旦侵入されるとその内部では端末間での行き来が比較的自由に行えるために、不正プログラムの拡散を許し、被害が拡大する可能性がありました。最近問題となっている大規模な情報流出事件も多くはこうした旧来型のセキュリティモデルのセキュリティホールを突いた物でした。これに対して、NSX Deep Security が実現するマイクロセグメンテーションとは、セキュリティゾーンを仮想マシン単位にまで落とし込み、最適なセキュリティを実現します。万が一特定の仮想マシンがウィルスに感染しても不正プログラムや不正な振る舞いをすぐさま検知し、自動的にネットワークから隔離する事により、感染した仮想マシン自体の不正な振る舞いが悪影響を及ぼすことを防止すると共に、内部での拡散も防止します。今回のハンズオンでは、NSXDeep Security の構成の確認と設定を行い、その後、Deep Securityに管理された仮想マシンにテストウィルスをダウンロード。Deep SecurityNSXと連携してネットワークから隔離されることを確認します。

 

3. ハンズオン手順



 

NSXとDeep Security(DS)の環境を確認

 

Mozilla Firefox をダブルクリックしてください。

ユーザー名:root

パスワード:VMware1!

でログインします。

 

 

その1

 

Networking and Securityをクリックします。

 

 

その2

 

この環境には既に Guest Introspectionと、Trend Micro Deep Security がホストにインストールされています。

※Guest Introspectionの旧名称は、vShield Endpoint です。

アンチウィルスをオフロードするためには、これら二つのソフトウェアをあらかじめESXiホストにインストールする必要があります。

インストール自体は極めて簡単です。

 

 

その3

 

NSX Managerをクリックします。

 

 

その3

 

192.168.110.42セキュリティタグをクリックすると、Deep Security のアンチマルウェア検出機能と連携可能なタグ情報が3つ表示されます。今回は、=mediumのタグ(赤枠一番下)をDS側と連携させます。

 

 

その4

 

次にDSの環境を見てみます。新しいタブを開き、Trend Micro Deep… をクリック。

Username:admin

Password:VMware1!

でログインします。

 

 

その5

 

DS 管理画面が表示されます。Computersタブをクリックします。ホストや仮想マシンの一覧が出てきます。Statusの欄でManagedになってるホスト、仮想マシンが、Deep Security管理下のオブジェクトです。

 

 

その6

 

今回テストに利用するWin7-AV.corp.localをダブルクリックして設定を確認します。

 

 

その7

 

Anti-Malwareをクリックし、右ペインでAdvancedタブを選択。一番下、NSX SecurityTaggingを確認します。

この設定では、マルウェアに感染したときに

ANTI_VIRUS.VirusFound.threat=mediumというNSXが管理するタグを付与する設定となっています。このタグは、手順5で確認したタグの1つです。

 

右ペインのオプションの意味は下記の通りです。

Apply NSX Security…

 マルウェアの削除が成功したときにもTAG付けを行う(デフォルトでは選択されている項目です)

Remove Previously applied…

 マルウェアのスキャンが成功したときにタグを外す

 

 

その8

ここまでの確認で以下が分かりました。

・NSXとDSは、タグ連携が可能。

・仮想マシンWin7-AV.corp.localには、

ウィルス感染した場合(リアルタイムに除去された場合でも)タグANTI_VIRUS.VirusFound.threat=medium を付与する

フルスキャンでマルウェアが検出されなかった場合はタグを外す

 

ここから先は以下を実施します。

 ・DS上でウィルス感染した際のタグ付けのタイミングを1分に設定。

(デフォルトは10分となっています)

Quarantineという名前のセキュリティグループを作成します。

ANTI_VIRUS(の語句を含む)タグが付与された仮想マシンをQuarantineに所属させるセキュリティポリシーを作成します。

Quarantineに所属した仮想マシンがネットワーク遮断される様にFireWallルールを作成します。

以上の設定を行った上で仮想マシンにテストウィルスをダウンロードすると、以下のようなことが起こることを確認します。

・仮想マシンがQuarantineセキュリティグループに移動

FireWallルールが適応されネットワークから遮断

 

 

その9

 

手順7に引き続き、DS ManagerWin7-AV.corp.local設定画面の左ペインで、Settingsを選択。右ペインで、Computerタブを選択し、Heatbeat Interval の設定を1 Minuteに変更し、Saveをクリックします。

 

 

その10

 

次にセキュリティグループの作成を行います。ブラウザでNSX 管理画面を表示します。

Service ComposerSecurity Groupタブ、をクリックし、セキュリティグループの新規作成アイコンをクリックします。

 

 

その11

 

ウィザードが開始されますので、名前を入力し、次に進みます。

名前:Quarantine

 

 

その12

 

一致で、任意が選択されている事を確認し、以下のパラメータを選択及びテキスト入力します。

セキュリティタグ

含む

ANTI_VIRUS

入力が終わったら、終了をクリックします。

NSX DS のタグとテキスト一致させる設定ですので、特にテキスト入力に関してはミスをしないよう、慎重に実施下さい。

 

 

その13

 

まだセキュリティグループのを作っただけですので、仮想マシンも入ってませんし、セキュリティポリシーやFWも定義されていません。

 

 

その14

 

セキュリティポリシータブをクリックし、Trend AV Policyをクリックします。

このポリシーは、このハンズオン用に、あらかじめ準備されたポリシーです。

 

 

その15

 

サマリタブを見ると、Guest Introspection サービスとして、Trend Micro Deep Securityが定義されていることが分かります。

確認した後、管理タブをクリックします。

 

 

その16

 

情報セキュリティをクリックし、Guest Introspection サービスで、Trend AVをクリック、さらに、編集をクリックします。

 

 

その17

 

何が定義されているか確認してみましょう。Trend AVを選択して、編集アイコンをクリックします。

 

 

その18

 

Guest Introspectionサービスとして、Trendmicro Deep Securityが定義されていることが分かります。

確認が終了したら、キャンセル2回クリックして戻ります。

 

 

その19

 

Networking and S..をクリックします。

 

 

その20

 

セキュリティポリシータブをクリックし、新規作成アイコンをクリックします。

 

 

その21

 

名前に以下を入力し,次へをクリックします。

名前:Quarantine Policy

 

 

その22

 

ファイアウォールルールをクリックし、追加ボタンをクリックします。

 

 

その23

 

以下の設定を行い、OKをクリックします。

名前:Quarantine Access

操作:ブロック

を選択

(ノート)

今作成しているのはセキュリティポリシーです。このセキュリティポリシーが適応された仮想マシンはFire Wallでネットワークアクセスが遮断されることになります。

 

 

その24

 

終了をクリックし、セキュリティポリシー作成ウィザードを終了します。

 

 

その25

 

今作成したセキュリティポリシーを、セキュリティグループに割り当てます。Quarantine Policyを選択し、アクションポリシーの適応をクリックします。

 

 

その26

 

セキュリティグループの一覧が出てきますので、Quarantineにチェックを入れ、OKをクリックします。

 

 

その27

 

Security Group タブをクリックします。先程作成したセキュリティグループ、Quarantineにセキュリティポリシーが適応され、そのセキュリティポリシー内のFire Wallが適応されていることが分かります。

 

 

その28

 

設定は全て完了しましたので、仮想マシンにテストウィルスファイルをダウンロードしてみましょう。

ホームアイコンをクリックします。

 

 

その29

 

ホストおよびクラスタをクリックします。

 

 

その30

 

av-win-01aをクリックし、コンソールの起動をクリックします。

 

 

その31

 

Ctrl-Alt-Deleteの送信をクリックします。

 

 

その32

 

パスワード

VMware1!

を入力しログオンします。

 

 

その33

 

Windowsアイコンをクリックし、cmdと入力の上、エンターします。

 

 

その34

 

コマンドプロンプトの中で、

ping 172.16.10.11 t

を実行します。

 

 

その35

 

同じコンソール上で、IEを起動します。

 

 

その36

 

corp.local Admin Portalをクリックし、Configuration Settings Fileをクリックします。

 

 

その37

 

Saveをクリックし、ファイルをダウンロードします。

 

 

その38

 

ダウンロード先の確認が出てきた場合は、そのまままSaveをクリックします。デスクトップになっていると思います。

 

 

その39

 

デスクトップ上にダウンロードしたはずなのに、ファイルがないことを確認します。これは、Deep Securityのリアルタイムスキャンの機能です。つまり、ウィルス感染から免れたということになります。

 

 

その40

 

Ping応答がTime Outになっていることを確認します。これは先程NSX側で設定したQuarantineグループに仮想マシンが入り、その中に定義されたネットワーク遮断のFire Wallルールが適応されたためです。それを以降で確認します。

 

 

その41

 

Trend Micro Deep Security Managerのタブをクリック、Computersをクリックし、WIN7-AV.corp.localをダブルクリックします。

 

 

その42

 

Auti-Malwareをクリックし、Eventsをクリックすると、マルウェアをダウンロードしたLogが残っています。確認したら、右下のCloseボタンをクリックします。(画面無し)

 

 

その43

 

次に、vSphere Web Clientタブをクリックし、ホームアイコンをクリック、さらに、Networking and Securityをクリックします。

 

 

その44

 

Service Composerをクリックすると、セキュリティグループQuarantineに仮想マシンが1つ入っていることが分かります。この数字の1をクリックします。

 

 

その45

 

ウィルスをダウンロードした仮想マシンが所属していることが分かります。

確認が終わったら右上の×をクリックします。

 

 

その46

 

ついでにNSX Managerをクリックします。

 

 

その47

 

192.168.110.42をクリックすると、ANTI_VIRUS.virusFound.thread=mediumに仮想マシンが1つ所属していることが分かります。このタグを付けたのが、Deep Security Managerです。

 

 

その48

 

以下ご説明のみです。

通常のデモでは、この後、DSManagerの管理画面に戻り、仮想マシンのフルスキャンを行います。既にウィルスファイルは除去されていますので、フルスキャンでマルウェアが検出されず、タグが外れ、仮想マシンのPingが回復するということになります。

本環境では負荷軽減のためマニュアルのフルスキャンは出来ない設定となっています。ご了承下さい。

お疲れ様でした!

以上でハンズオンは終了です!!

 

4. 終わりに


如何でしたでしょうか?NSXDeep Securityが実現するマイクロセグメンテーションは、内部のセキュリティゾーンを仮想マシンまで極小化することにより、万が一ウィルスに侵入されたとしても不正プログラムや不正な振る舞いが拡散しない次世代型のセキュリティモデルとなっています。本ハンズオンを通じ、少しでもその良さが伝えられたとしたら嬉しく思います。


Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-SDC-1425_JA

Version: 20151119-045504