Kaspersky Security for Virtualization 6.x Agentless を VMware NSX-T Manager が管理するインフラストラクチャにインストールするには
対象製品:
- Kaspersky Security for Virtualization 6.1 Agentless
このアプリケーションをインストールする前に、以下を確認してください:
- SVM(セキュア仮想マシン)イメージは、信頼されるソースから受信されます。手順については この記事 を参照してください。
- Agent VM Settings は、それぞれのハイパーバイザー、すなわちサービス仮想マシンと SVM のためのネットワークおよびストレージのために設定されています。Agent VM Settings の設定方法の詳細については、VMware のドキュメント を参照してください。
- N-VD タイプのスイッチが使用されると、物理的ネットワークインターフェイスが 1 つ、それぞれのハイパーバイザー上の N-VDS の構成のために確保されます。
VMware NSX-T Manager により管理されるインフラストラクチャに Kaspersky Security for Virtualization 6.x Agentless をインストールするには、VMware NSX Manager Web コンソールで以下のステップを完了させてください。
1. NSX Manager を登録する
VMware vCenter Server を NSX Manager として登録します。
- [ System ] → [ Fabric ] → [ Compute Managers ] の順に選択してください。
- [ Add ] をクリックします。
- VMware NSX-T Manager を VMware vCenter Server に接続するためのアカウント、および接続パラメータを指定してください。[ Add ] をクリックします。
登録が完了すると、VMware vCenter Server のテーブルに以下のステータスが表示されます。
- Registration Status(登録ステータス) — Registered(登録済み)
- Connection Status(接続ステータス) — Up(進行中)
2. NSX トランスポートノードのためのプロファイルを生成する
- [ System ] → [ Fabric ] → [ Profiles ] の順に選択してください。
- [ Transport Node Profiles ] タブを開き、[ Add ] をクリックしてください。
- パラメータを指定してください:
- Name — 新しい NSX トランスポートノードプロファイルの名前を設定します。
- Type — タイプを切り替えます。VDS タイプスイッチを使用したいときは、最初にご自分の Datacenter の中に Distributed Virtual Switch を生成してください。
- Mode — 標準です。
- Name — 使用するスイッチに応じて名前を入力します。N-VDS を選択した場合、NSX トランスポートプロファイルが VMware ESXi ハイパーバイザーに適用されるときに生成されるスイッチの新しい名前を入力してください。VDS を選択した場合は、VMware vCenter Server と Distributed Virtual Switch の名前です。
- Transport Zone — SVM の接続先となる Overlay タイプの NSX トランスポートゾーンです。
- Uplink Profile — nsx-default-uplink-hostswitch-profile です。
- IP Assignment (TEP) — お使いの仮想インフラストラクチャで IPIP アドレスを割り当てる方法で、DHCP プロトコルによるか、IP アドレスの静的プールからとなります。IP アドレスの静的プールを使用している場合、最初にハイパーバイザー上のトンネルエンドポイント向け IP アドレスのプールを設定し、選択します。
- Teaming Policy Uplink Mapping — N-VDS スイッチタイプを選択している場合は、N-VDS スイッチが生成される際の基盤となる物理的ネットワークインターフェイスを指定してください。
- [ Add ] をクリックします。
NSX トランスポートプロファイルが生成されます。
3. 保護展開のための VMware ESXi ハイパーバイザーを準備する
VMware NSX コンポーネントをインストールします。
- [ System ] → [ Fabric ] → [ Nodes ] の順に選択します。
- [ Host Transport Nodes ] タブを開きます。
- [ Managed By ] ドロップダウンリストで、追加した VMware vCenter Server を選択してください。
- SVM を展開したいハイパーバイザーを伴うクラスターを選択します。
- [ Configure NSX ] をクリックします。
- ステップ 2 で生成された NSX トランスポートプロファイルを選択します。
- [ Apply ] をクリックし、ハイパーバイザーの準備が整うまで待ちます。
保護展開に向けてハイパーバイザーの準備が整います。
4. NSX Data Center ライセンスを確認する
Network Threat Protection コンポーネントを使用するには、以下に示すライセンスのいずれかが必要となります。
- NSX Data Center Advanced
- NSX Data Center Enterprise Plus
- NSX Data Center for Remote Office Branch Office
- NSX for vSphere Advanced
- NSX for vSphere Enterprise
既定では、VMware NSX-T Manager の展開時に標準の NSX for vSphere ライセンスが追加されます。標準のライセンスを使用する場合、VMware ESXi で Network Threat Protection を有効化するのに必要となる Network Service Insertion(Third Party Integration)機能は利用できません。
使用されるライセンスに関する情報を表示するには、[ System ] → [ Licenses ] の順に選択します。
上のリストにライセンスがないときは、ライセンスウィザードを使用して追加してください。
5. Network Threat Protection のための NSX セグメントを生成する
- [ Networking ] → [ Segments ] の順に選択します。
- [ Add Segment ] をクリックします。
- [ Segment Name ] 列に、新しい NSX セグメントの名前を入力します。
- [ Transport Zone ] 列で、ステップ 2 で NSX トランスポートプロファイルを生成した NSX トランスポートゾーンを選択します。
- [ Save ] をクリックします。
NSX セグメントが生成されます。ネットワーク上の脅威から保護する仮想マシンのネットワークインターフェイスを接続します。これを行うには、VMware vSphere Client コンソールにある仮想マシンのプロパティを開きます。
6. VMware NSX-T Manager に Kaspersky Security サービスを登録する
- HTTP または HTTPS を経由するネットワークアクセスを使ってファイルサーバー上に Kaspersky Security for Virtualization 6.x Agentless コンポーネントを持つ SVM イメージをすべて公開します。Windows に組み込まれている IIS Web サーバーを使用できます。
- Kaspersky Security Center のコンポーネント、すなわち管理プラグイン、Integration Server コンソール、および Integration Server をインストールします。手順については オンラインヘルプ ページを参照してください。
- VMware vCenter Server への Integration Server 接続の設定を指定します。手順については オンラインヘルプ ページを参照してください。
- Integration Server Console から開始されるウィザードに、Kaspersky Security サービスの登録と展開に必要な設定を入力します。手順については オンラインヘルプ ページを参照してください。
Kaspersky Security サービスが VMware NSX-T Manager に登録されます。
7. 登録されたサービスのリストを確認する
統合サーバーは、VMware NSX Manager に Kaspersky Service Manager として登録されます。
登録されたサービスのリストを表示するには、以下の操作を行ってください。
- [ System ] → [ Service Deployments ] の順に選択します。
- [ Catalog ] タブを開きます。
- Kaspersky File Antimalware Protection、および Kaspersky Network Protection というサービスがリストにあることを確認します。リストにないときは、ステップ 6 を繰り返してください。
8. SVM を File Threat Protection コンポーネントと共に展開する
SVM を File Threat Protection コンポーネントと共に VMware ESXi ハイパーバイザー上に展開するには、Kaspersky File Antimalware Protection サービスを VMware クラスター上に展開します。
- [ System ] → [ Service Deployments ] の順に選択します。
- [ Deployment ] タブを開きます。
- [ Partner Service ] フィールドで、 [ Kaspersky File Antimalware Protection ] を選択します。
- [ Deploy Service ] をクリックします。
- 展開のためのパラメータを指定します:
- Service Deployment Name — 展開名を設定します。
- Compute Manager — VMware NSX-T Manager の接続先となる VMware vCenter Server です。
- Cluster — SVM を Network Threat Protection コンポーネントと共に展開したい VMware クラスターです。
- Data Store — SVM 展開のためのストレージです。
- Deployment Specification — ハイパーバイザー上に展開される File Threat Protection コンポーネントを伴う SVM の構成です(Small、Medium、または Large があります。構成の詳細については、 オンラインヘルプ を参照してください)。
- Deployment template — KSV_DeploymentTemplate です。
- [ Networks ] 列で [ Set ] をクリックします。
- ネットワークパラメータを調整します。
- ネットワークインターフェイス eth0 の [ Network ] 列に SVM が使用するネットワークを指定し、[ Network Type ] フィールドに IP アドレスを割り当てる方法を示します。
- 静的 IP アドレスを使用するには、IP アドレスのプールを [ IP Pool ] 列に指定します。
プールを生成するには、[ Manage IP Pools ] をクリックし、SVM IP アドレスが割り当てられる元となるプールを設定します。 - eth1 というインターフェイスの名前の左側にあるチェックボックスを選択します。
- [ Save ] をクリックします。
- [ Save ] をクリックして、SVM の展開を開始します。
- Kaspersky File Antimalware Protection の展開が正常に完了するまで待ちます。Kaspersky File Antimalware Protection サービスの展開が正常に完了すると、[ Status ] 列に Up という値が表示されます。
- [ Service Instances ] タブを開きます。
- 選択した VMware クラスターで、それぞれのハイパーバイザーに SVM が正常に展開されていることを確認します。
File Threat Protection コンポーネントを伴う SVM が展開されます。
VMware vSphere Client コンソールで、展開された SVM を確認することもできます。
9. SVM を Network Threat Protection コンポーネントと共に展開する
VMware ESXi ハイパーバイザー上で SVM を Network Threat Protection コンポーネントと共に展開するには、以下の操作を行います。
- [ System ] → [ Service Deployments ] の順に選択します。
- [ Deployment ] タブを開きます。
- [ Partner Service ] ドロップダウンリストで、 [ Kaspersky Network Protection ] サービスを選択します。
- [ Deploy Service ] をクリックします。
- 展開のためのパラメータを指定します:
- Service Deployment Name — 展開名を設定します。
- Compute Manager — VMware NSX-T Manager の接続先となる VMware vCenter Server です。
- Deployment Type — Network Threat Protection コンポーネントを伴う SVM の展開方法です。
Host Based を選択すると、選択された VMware クラスターのそれぞれのハイパーバイザー上に SVM が展開されます。新しいハイパーバイザーがクラスターに追加されると、SVM もその上に展開されます。
Clustered を選択すると、Clustered Deployment Count に指定する数の SVM が、指定された VMware クラスター内に生成されます。 [ Host ] フィールドで、これらの SVM が展開されるハイパーバイザーを指定することができます。 [ Host ] フィールドで [ Any ] を選択すると、SVM が展開されるハイパーバイザーが自動的に割り当てられます。 - Cluster — SVM を Network Threat Protection コンポーネントと共に展開したい VMware クラスターです。
- Data Store — SVM 展開のためのストレージです。
- Deployment Specification — ハイパーバイザー上に展開される Network Threat Protection コンポーネントを伴う SVM の構成です(構成の詳細については、 オンラインヘルプ を参照してください)。
- Deployment template — KSVNS_DeploymentTemplate です。
- [ Networks ] フィールドで、 [ Set ] をクリックします。
- ネットワークパラメータを調整します。
- eth0 ネットワークインターフェイスの [ Network ] 列で、SVM により使用されるネットワークを指定します。
- eth0 ネットワークインターフェイスの [ Network Type ] 列で、IP アドレスを割り当てる方法を指定します。
- 静的 IP アドレスを使用するには、IP アドレスのプールを [ IP Pool ] 列に指定します。プールを生成するには、[ Manage IP Pools ] をクリックし、SVM IP アドレスが割り当てられる元となるプールを設定します。
- eth1 というインターフェイスの名前の左側にあるチェックボックスを選択します。
- [ Save ] をクリックします。
- [ Service Segments ] ドロップダウンリストの右側の をクリックします。
- [ Add Segment ] をクリックします。NSX サービスセグメントの名前を設定し、NSX トランスポートゾーンを指定し、 [ Save ] をクリックします。
- [ Close ] をクリックします。
- [ Service Segments ] フィールドで、生成された NSX サービスセグメントを選択します。
- [ Save ] をクリックして、SVM の展開を開始します。
- Kaspersky Network Protection の展開が正常に完了するまで待ちます。Kaspersky Network Protection サービスの展開が正常に完了すると、[ Status ] 列に Up という値が表示されます。
- [ Service Instances ] タブを開きます。
- 選択した VMware クラスターで、それぞれのハイパーバイザーに SVM が正常に展開されていることを確認します。
Network Threat Protection コンポーネントを伴う SVM が展開されます。
VMware vSphere Client コンソールで、展開された SVM を確認することもできます。
10. NSX グループを設定する
Kaspersky Security for Virtualization 6.x Agentless で保護する仮想マシンを、1 つ以上の NSX グループに追加します。最初に、以下を用いて NSX グループを生成し、VM をグループに追加するための規則を調整します:
- SVM を NSX Security Group に動的に追加。グループには、指定された基準を満たすすべての仮想マシンが含まれます。
- 指定された VM の追加。
SVM を NSX Group に追加する規則を設定するとき、これらのオプションを組み合わせることができます。たとえば、指定されたパラメータに従って動的に VM をグループに追加することを選択しながら、グループに含める VMware 管理オブジェクトを指定できます。
NSX グループを設定するには、以下の操作を行います。
- [ Inventory ] → [ Groups ] の順に選択します。
- [ Add Group ] をクリックします。
- 新しい NSX Group の名前を入力します。たとえば、Kaspersky Security Group や Protected by Kaspersky などです。
- [ Set Members ] をクリックします。
- グループに仮想マシンを動的に追加することを設定する場合:
- [ Membership Criteria ] タブを開きます。
- [ Add Criteria ] をクリックします。
-
VM をグループに追加するための基準を調整します。たとえば、Windows を実行するすべての仮想マシンをグループに追加する場合は、Virtual Machine、OS、Name、Contains、Windows の基準を設定します。
- NSX Group に追加する仮想マシンを指定する場合は、以下の操作を行います。
- [ Members ] タブを開きます。
- [ Category ] ドロップダウンリストで、 [ Virtual Machines ] を選択します。
-
グループに追加する仮想マシンを選択します。
- [ Apply ] → [ Save ] の順にクリックします。
- [ View Members ] をクリックし、保護する仮想マシンが NSX グループに含まれていることを確認します。
NSX Group が構成されます。
11. File Threat Protection のための NSX ポリシーを設定する
NSX グループに含まれる仮想マシン上で File Threat Protection を使用するには、Kaspersky File Antimalware Protection サービス向けの NSX プロファイルを生成し、NSX グループ向けの NSX ポリシーを設定します。
- [ Security ] → [ Endpoint Protection Rules ] の順に選択します。
- [ Service Profiles ] タブを開きます。
- [ Partner Service ] ドロップダウンリストで、 [ Kaspersky File Antimalware Protection ] サービスを選択します。
- [ Add Service Profile ] をクリックし、以下を指定します:
- Service Profile Name — NSX サービスプロファイルの名前を設定します。
- Vendor Template — Default Configuration のテンプレートです。
- [ Save ] をクリックします。
- [ Rules ] タブを開き、 [ Add Policy ] をクリックします。
- [ Name ] 列でポリシーに名前を付け、ポリシーを選択し、 [ Add Rule ] をクリックします。
- [ Name ] 列で規則に名前を付け、 [ Select Groups ] 内で をクリックします。
- SVM を含む NSX グループを 1 つ以上選択します。[ Apply ] をクリックします。
- [ Select Service Profiles ] フィールド内で をクリックします。
- 生成された Kaspersky File Antimalware Protection サービスプロファイルを選択し、[ Save ] をクリックします。
- [ Publish ] をクリックします。
NSX ポリシーが NSX Group に適用されます。
12. Network Threat Protection のための NSX ポリシーを設定する
NSX グループに含まれた仮想マシンをネットワーク上の脅威から保護するには、以下のステップに従います。
ステップ 1.Kaspersky Network Protection サービス用の NSX サービスプロファイルの生成
- [ Security ] → [ Network Introspection Settings ] の順に選択します。
- [ Service Profiles ] タブを開きます。
- [ Partner Service ] ドロップダウンリストで、 [ Kaspersky Network Protection ] サービスを選択します。
- [ Add Service Profile ] をクリックし、以下を指定します:
- Service Profile Name — NSX サービスプロファイルの名前を設定します。
- Vendor Template — Default Configuration のテンプレートです。
- [ Save ] をクリックします。
ステップ 2.NSX サービスチェーンの生成
- [ Security ] → [ Network Introspection Settings ] の順に選択します。
- [ Service Chains ] タブを開きます。
- [ Add Chain ] をクリックし、以下を指定します:
- Name — NSX サービスチェーンの名前を設定します。
- Service Segments — Network Threat Protection コンポーネントを伴う SVM の展開のために指定した NSX サービスセグメントです。
- Reverse Path — Inverse Forward Path チェックボックスが選択されていることを確認します。
- Failure Policy — 許可します。
- [ Set Forward Path ] をクリックします。
- [ Add profile in sequence ] をクリックし、生成された Kaspersky Network Protection サービスプロファイルを選択します。
- [ Add ] → [ Save ] の順にクリックします。
- [ Save ] をクリックします。
ステップ 3.NSX グループのためのポリシーの設定
- [ Security ] → [ Network Introspection (E-W) ] の順に選択し、 [ Add Policy ] をクリックして、以下のパラメータを指定します:
- Name — ポリシーの名前を設定します。
- Redirect To — 生成した NSX サービスチェーンを選択します。
- [ Publish ] をクリックします。
- 仮想マシンの受信トラフィックを確認します。
- 生成されたポリシーを選択し、[ Add Rule ] をクリックします。
- [ Name ] フィールドで規則に名前を付け、 [ Destinations ] フィールドで をクリックします。
- SVM を含む 1 つ以上の NSX グループを選択し、[ Apply ] をクリックします。
- [ Applied To ] フィールドにあるアイコンをクリックします。
- 規則が適用されるオブジェクトの 1 つのタイプとして [ Groups ] を選択し、SVM を含む 1 つ以上の NSX グループを選択して、[ Apply ] をクリックします。
- [ Publish ] をクリックします。
- 仮想マシンの発信トラフィックを確認します。
- 生成されたポリシーを選択し、[ Add Rule ] をクリックします。
- [ Name ] フィールドで規則に名前を付け、 [ Destinations ] フィールドで をクリックします。
- SVM を含む 1 つ以上の NSX グループを選択し、[ Apply ] をクリックします。
- [ Applied To ] フィールドにあるアイコンをクリックします。
- 規則が適用されるオブジェクトの 1 つのタイプとして [ Groups ] を選択し、SVM を含む 1 つ以上の NSX グループを選択して、[ Apply ] をクリックします。
- [ Publish ] をクリックします。
NSX ポリシーが NSX Group に適用されます。