VMware NSX-V Manager によって管理されている仮想インフラストラクチャにインストールする方法(Kaspersky Security for Virtualization 6.x Agentless)
対象製品:
- Kaspersky Security for Virtualization 6.1 Agentless
- Kaspersky Security for Virtualization 6.0 Agentless
インストール作業を行う前に:
- SVM(セキュア仮想マシン)イメージは、信頼されたソースから受信されます。手順は こちらの記事 を参照してください。
- エージェント仮想マシン設定で各ハイパーバイザーに対する次のパラメータを設定していることを確認します:サービス仮想マシンとSVMのためのネットワーク、ならびにストレージの設定。
エージェント仮想マシンへのパラメータの設定の詳細に関しては、VMware のドキュメント をご参照ください。
Kaspersky Security for Virtualization 6.x Agentless を VMware NSX-V Manager によって管理されている仮想インフラストラクチャにインストールするには、VMware vSphere Web Client コンソールを使用し、以下の手順を行います。
1. Guest Introspection サービスを導入する
VMware vCenter サーバと VMware NSX Managerによって管理されているインフラストラクチャでは、各 VMware ハイパーバイザ クラスタに Guest Introspection サービスを導入した後、ネットワーク脅威の検知コンポーネントを使用して SVM を導入します。
- [ Networking and Security ] - [ Installation and Upgrade ] - [ Service Deployment ] の順で移動します。
- [ Add ] をクリックして、仮想マシン用のネットワーク サービスおよび保護サービスの展開ウィザードを開始します。
- Guest Introspection を選択し、[ Next ] をクリックします。
- 1 つまたは複数の VMware クラスターを選択し、File Threat Protection コンポーネントが搭載された SVM をインストールし、[ Next ] をクリックします。
- 必要に応じて、デフォルトのネットワーク設定を変更し、Guest Introspection サービス仮想マシン用のストレージを選択できます。これは、選択した VMware クラスターにインストールされます。
- Guest Introspection サービスの仮想マシンで使用するネットワークと仮想マシンを展開するストレージを選択します。
- サービスの仮想マシンの IP アドレスの割り当てを変更する場合は、[ IP Assignment ] の列にある対応するアイコンをクリックします。
-
[ Use IP Pool ] を選択し、[ Add ] をクリックします。
-
静的アドレスのプールを構成し、[ Save ] をクリックします。
-
作成した IP アドレスプールを選択して [ OK ] をクリックします。
-
選択した IP アドレスプールの名前が、[ IP アドレスの割り当て ] の列に表示されます。[ Next ] をクリックします。
- すべての設定を確認して問題がないことを確認できたら、[ Finish ] をクリックします。
ウィザード画面が閉じ、Guest Introspection サービスの展開状況が [ Installation Status ] の列に表示されます。
- Guest Introspection サービスの導入が完了するまでお待ちください。
- [ Hosts and Clusters ] 画面に移動します。
- 選択したクラスタ内の各ハイパーバイザーに、Guest Introspection サービス仮想マシンの導入が正常に行われ、起動可能な状態であることを確認します。
Guest Introspection サービスが、クラスターに含まれる各ハイパーバイザーに展開されます。
2. Network Threat Protection を展開するために VMware ESXi ハイパーバイザーの準備をする
VMware NSX コンポーネントのインストール:
- [ Networking and Security ] - [ Installation and Upgrade ] - [ Host Preparation ] の順で移動します。
- Network Threat Protection コンポーネントが搭載されたSVM を展開するハイパーバイザーが含まれるクラスターを選択します。
- [ Actions ] から [ Install ] を選択します。
- [ Yes ] をクリックします。
ハイパーバイザーの準備状況が確認できます。
- ハイパーバイザーの準備が完了するまでお待ちください。
[ Hosts ] の列に、インストールされている VMware NSX のコンポーネントに関する情報が表示されます。
3. NSX for vSphere のライセンス情報を確認する
Network Threat Protection コンポーネントを使用するには、NSX for vSphere Advanced または NSX for vSphere Enterprise の有効なライセンスが必要です。
VMware NSX-V Manager から VMware vCenter Server への接続時に、デフォルトで NSX for vSphere の標準ライセンスが追加されます。標準ライセンスを使用している場合、VMware ESXi ハイパーバイザーでネットワーク脅威の検知を有効にするために必要な Network Service Insertion(Third Party Integration)機能は使用できません。
使用中のライセンスに関する情報を表示するには:
- [ Menu ] - [ Administration ] の順で移動します。
- [ Licenses ] - [ Assets ] - [ Solutions ] の順で移動します。
リストに NSX for vSphere Advanced または NSX for vSphere Enterprise のライセンスが存在しない場合は、対応するウィザードを使用してライセンスをインストールします。
4. VMware NSX-V Manager に Kaspersky Security サービスを登録する
VMware NSX-V Manager に Kaspersky Security サービスを登録するには:
- HTTP または HTTPS を経由するネットワークアクセスを使ってファイル サーバー上に Kaspersky Security for Virtualization 6.x Agentless コンポーネントを持つ SVM イメージをすべて公開します。Windows に組み込まれている IIS Web サーバーを使用可能できます。
- Kaspersky Security Center コンポーネントをインストールします:vCenter および NSX との連動に必要な管理プラグイン、Integration Server コンソール、および Integration Server。手順については オンラインヘルプ をご参照ください。
- VMware vCenter Server への Integration Server 接続の設定を指定します。手順については オンラインヘルプ をご参照ください。
- Integration Server Console から開始されたウィザードに、Kaspersky Security サービスの登録と展開に必要な設定を入力します。手順については オンラインヘルプ をご参照ください。
VMware NSX-V Manager に Kaspersky Security サービスが登録されます。
5. 登録されているサービスのリストを確認する
Kaspersky Security for Virtualization 6.x Agentless サービスは、Integration Server により VMware NSX Manager に登録されます。Integration Server は、VMware NSX Manager に Kaspersky Service Manager として登録されます。
登録されているサービスのリストを表示するには、[ Networking and Security ] - [ Service Definitions ] - [ Services ] の順で移動します。
各列では下記情報が表示されます:
- 名前 – ファイルシステム保護サービス(Kaspersky File Antimalware Protection)またはネットワーク保護サービス(Kaspersky Network Protection)の名前
- Version – Integration Server Console でパスを指定したSVM イメージのバージョン
- Service Manager – Kaspersky Service Manager の名前 (VMware NSX Manager に登録されている Integration Server)
サービスマネージャのリストを表示するには、[ Networking and Security ] - [ Service Definitions ] - [ Service Manager ] の順で移動します。
各列では下記情報が表示されます:
- Name – Kaspersky Service Manager の名前 (VMware NSX Manager に登録されている Integration server)
- Vendor ID – Kaspersky Lab の ID
- Vendor Name – AO Kaspersky Lab の名前
6. NSX グループを設定する
Kaspersky Security for Virtualization 6.x Agentlessで保護するすべての SVM を NSX グループに追加します。まず、NSX グループを作成し、仮想マシンをグループに追加するルールを設定します。
- 動的に追加する:指定した基準を満たすすべての仮想マシンが含まれます。
- VMware 管理オブジェクトを選択する:グループに追加するオブジェクトを選択できます(Datacenter オブジェクト、VMware クラスタ、リソースプール、特定の仮想マシンなど)。既定では、指定した VMware 管理オブジェクトのすべての子オブジェクトがグループに追加されます。NSX グループに追加しない VMware 管理オブジェクトを指定することもできます。
SVM を NSX グループに追加するルールを設定するときに、これらのオプションを組み合わせることができます。たとえば、指定されたパラメータに従ってグループへ追加する仮想マシンを動的に選択したり、グループから除外する VMware 管理オブジェクトを指定できます。
NSX グループを設定する手順:
- [ Networking and Security ] - [ Service Composer ] - [ Security Groups ] の順で移動します。
- [ Add ] をクリックします。
- 新しい NSX グループの名前を入力します(例:“Kaspersky Security Group” や “Protected by Kaspersky” など)。
- [ Next ] をクリックします。
- グループへ仮想マシンを動的に追加する場合は、ウィザードの [ Define dynamic membership ] ステップに進み、以下の設定を行います。
- [ Add ] をクリックします。
- 仮想マシンをグループに追加する条件を調整します。例えば、Windows を実行しているすべての仮想マシンをグループに追加する場合、[ Computer OS name ]、[ Contains ]、[ Windows ] の条件を指定します。
- [ Next ] をクリックします。
- NSX グループに VMware 管理オブジェクトを指定して追加する場合は、[ Select Objects to Include ] ステップに進み、以下の設定を行います。
- [ Object Type ] フィールドで、オブジェクトタイプを選択します。
- 必要なすべての VMware 管理オブジェクトを、[ Selected Objects ] リストに移動します。
- [ Next ] をクリックします。
- NSX セキュリティグループに含めたくない VMware 管理オブジェクトを指定する場合は、[ Select Objects to Exclude ] ステップに進み、以下の設定を行います。
- [ Object Type ] フィールドで、オブジェクトタイプを選択します。
- 除外するすべての VMware 管理オブジェクトを、[ Selected Objects ] リストに移動します。
- [ Next ] をクリックします。
- 指定したパラメーターを確認するには、[ Ready to complete ] のステップに進んでください。
- すべての設定を確認して問題がないことを確認できたら、[ Finish ] をクリックします。
- [ Hosts and Clusters ] に移動し、保護する仮想マシンが NSX グループに含まれているか確認します。
- グループの要件を満たすそれぞれの仮想マシンの [ Summary ] タブにある [ Security Group Membership ] セクションで、NSX グループで作成したグループ名が表示されていることを確認します。
NSX グループが設定されます。
7. NSX ポリシーを設定する
NSX グループの仮想マシンを保護するには、NSX ポリシーを設定し、そのポリシーを NSX グループに適用します:
- [ Networking and Security ] - [ Service Composer ] - [ Security Policies ] の順で移動します。
- [ Add ] をクリックします。
- NSX ポリシー名を入力し、[ Next ] をクリックします。
- File Threat Protection を利用する場合、[ Add ] をクリックします。
- [ Name ] フィールドに名前を入れ、[ Service Name ] のドロップダウンリストで [ Kaspersky File Antimalware Protection ] サービスを選択し、[ OK ] をクリックします。
Kaspersky File Antimalware Protection サービスの情報がポリシーウィザードの画面に表示されます。
- ネットワーク脅威の防止コンポーネントを使用する場合は、[ Network Introspection Services ] タブに進みます。
- 仮想マシンの送信トラフィックをスキャンするには、以下の手順を行います:
-
[ Add ] をクリックします。
- [ Name ] フィールドに名前を入れ、[ Service Name ] のドロップダウンリストで、[ Kaspersky Network Protection ] サービスを選択します。
- [ Redirect to service ] オプションを有効にします。
-
[ Source ] セクションで [ Policy's Security Groups ] を選択し、[ Destination ] セクションで [ Any ] を選択します。
- [ OK ] をクリックします。
-
- 仮想マシンの受信トラフィックをスキャンするには、以下の手順を行います:
- [ Add ] をクリックします。
- [ Name ] フィールドに名前を入れ、[ Service Name ] のドロップダウンリストで [ Kaspersky Network Protection ] サービスを選択します。
- [ Redirect to service ] オプションを有効にします。
-
[ Source ] セクションで [ Any ] を選択し、[ Destination ] セクションで [ Policy's Security Groups ] を選択します。
- [ OK ] をクリックします。
Kaspersky Network Protection サービスの情報がポリシーウィザードの画面に表示されます。
- NSX ポリシーウィザードを閉じます。
- [ Security Policies ] タブに移動し、作成したポリシーを選択して [ Apply ] をクリックします。
- 保護する仮想マシンを含んでいる NSX グループを選択し、[ Apply ] をクリックします。
[ Security Policies ] タブ内にある、作成した NSX ポリシーの [ Status ] 列のステータスに [ Successful ] と表示されます。[ Applied on SGs ] 列には、ポリシーが適用された NSX グループの数が表示されます。
NSX ポリシーが、NSX グループに適用されます。
8. File Threat Protection コンポーネントが搭載された SVM を展開する
Kaspersky File Antimalware Protection サービスを VMware vCenter クラスターに展開すると、File Threat Protection コンポーネントが搭載された SVM が VMware ESXi ハイパーバイザーに展開されます。
導入する方法:
- [ Networking and Security ] - [ Installation and Upgrade ] - [ Service Deployment ] の順で移動します。
- [ Add ] をクリックします。
- [ Kaspersky File Antimalware Protection ] サービスを選択し、[ Next ] をクリックします。
- File Threat Protection コンポーネントをインストールするには、一つまたは複数の VMware クラスタを選択して [ Next ] をクリックします。
- 必要に応じて、選択した VMware クラスタにインストールされる、SVM サービスのデフォルトの設定を変更できます。
- SVM で使用するネットワークと File Threat Protection コンポーネントを持つ SVM を展開するストレージを選択します。
- サービスの仮想マシンの IP アドレスの割り当てを変更する場合は、[ IP Assignment ] 列にあるアイコンをクリックします。
-
[ Use IP Pool ] を選択し、[ Add ] をクリックします。
-
静的アドレスのプールを構成し、[ Save ] をクリックします。
-
追加したスタティックアドレスのプールを選択し、[ OK ] をクリックします。
-
選択した IP アドレスプールの名前が、[ IP Assignment ] 列に表示されます。[ Next ] をクリックします。
- すべての設定を確認し、問題がないことを確認したら [ Finish ] をクリックします。
ウィザード画面が閉じ、Kaspersky File Antimalware Protection の展開状況が、VMware vSphere Web Client コンソールの [ Installation Status ] 列に表示されます。
- Kaspersky File Antimalware Protection サービスの導入が完了するまでお待ちください。
- [ Hosts and Clusters ] 画面に移動します。
- 選択したクラスタ内の各ハイパーバイザーに、SVM サービスの仮想マシンの導入が正常に行われ、起動可能な状態であることを確認します。
File Threat Protection 用 SVM の導入が完了です。
9. Network Threat Protection 用 SVM を導入する
Network Threat Protection 用 SVM は、VMware vCenter クラスタに Kaspersky Network Protection サービスを導入するときに、VMware ESXi ハイパーバイザーに導入されます。
Kaspersky Network Protection 用 SVM を導入するには:
- [ Networking and Security ] - [ Installation and Upgrade ] - [ Service Deployment ] の順で移動します。
- [ Add ] をクリックします。
- [ Kaspersky Network Protection ] サービスを選択し、[ Next ] をクリックします。
- Network Threat Protection コンポーネントをインストールするには、1 つまたは複数の VMware クラスタを選択して [ Next ] をクリックします。
- 必要に応じて、選択した VMware クラスタにインストールされる SVM サービスのデフォルトの設定を変更できます。
- SVM で使用するネットワークと Network Threat Protection コンポーネントを持つ SVM を展開するストレージを選択し
- サービスの仮想マシンの IP アドレスの割り当てを変更する場合は、[ IP Assignment ] 列にあるアイコンをクリックします。
-
[ Use IP Pool ] を選択し、[ Add ] をクリックします。
-
静的アドレスのプールを構成し、[ Save ] をクリックします。
-
追加したスタティックアドレスのプールを選択し、[ OK ] をクリックします。
-
選択した IP アドレスプールの名前が、[ IP Assignment ] 列に表示されます。[ Next ] をクリックします。
- すべての設定を確認し、問題がないことを確認したら [ Finish ] をクリックします。
ウィザード画面が閉じ、Kaspersky Network Protection サービスの展開状況が、VMware vSphere Web Client コンソールの [ Installation Status ] 列に表示されます。
- Kaspersky Network Protection の導入が完了するまでお待ちください。
- [ Hosts and Clusters ] 画面に移動します。
- 選択したクラスタ内の各ハイパーバイザーに、SVM サービスの仮想マシンの導入が正常に行われたことを確認します。
Network Threat Protection 用 SVM の導入が完了です。