Kaspersky Security のコンポーネントと VMware 仮想インフラストラクチャの統合

Kaspersky Security のコンポーネントと VMware 仮想インフラストラクチャとの統合の要件：

• 仮想インフラストラクチャ管理サーバー（VMware vCenter Server、VMware Cloud Director）：VMware 仮想インフラストラクチャを一元的に管理します。Kaspersky Security の導入に使用します。本製品の動作に必要な VMware 仮想インフラストラクチャに関する情報は、仮想インフラストラクチャ管理サーバーから Integration Server に送信されます。
• VMware NSX Manager：このコンポーネントは、Kaspersky Security サービスの保護、登録、導入のために VMware ESXi ハイパーバイザーを準備します。
• 仮想フィルター：このコンポーネントを使用すると、保護対象仮想マシンのトラフィックでのネットワークパケットの送受信を取得できます。VMware NSX-V Manager によって管理されるインフラストラクチャでは、VMware DVFilter 技術が仮想フィルターとして機能します。VMware NSX-T Manager によって管理されるインフラストラクチャでは、VMware Network Service Insertion (SI) Service Chaining 技術のコンポーネントが仮想フィルターとして機能します。
• Guest Introspection Thin Agent：仮想マシンに関するデータを収集し、Kaspersky Security のスキャンのためにファイルを転送します。仮想マシンを Kaspersky Security で保護するには、対象の仮想マシンに Guest Introspection Thin Agent をインストールする必要があります。Windows の仮想マシンでは、VMware Tools パッケージに含まれている NSX ファイル自己検証ドライバが Guest Introspection Thin Agent コンポーネントとして機能します。詳細は、VMware 製品に付属のガイドを参照してください。

• Guest Introspection SDK：仮想マシンにインストールされた Guest Introspection Thin Agent と SVM 間の対話を提供します。VMware NSX-T Manager によって管理されるインフラストラクチャでは、Guest Introspection ESXi モジュールが Guest Introspection サービスとして機能します。VMware NSX-V Manager によって管理されるインフラストラクチャでは、Guest Introspection サービス仮想マシンと Guest Introspection ESXi モジュールが Guest Introspection サービスとして機能します。

ファイル脅威対策と VMware 仮想インフラストラクチャは、次のように対話します：

1. Kaspersky Security により保護対象仮想マシンで、ユーザーまたはアプリケーションがファイルを開いたり、保存したり、起動したりします。
2. Guest Introspection Thin Agent はこれらのイベントに関する情報を取得し、Guest Introspection サービスに送信します。
3. Guest Introspection サービスが、受信したイベントに関する情報を SVM にインストールされたファイル脅威対策に転送します。
4. アクティブな Kaspersky Security ポリシーでファイル脅威対策が有効になっている場合、保護対象仮想マシンでユーザーやアプリケーションが操作（開く、保存、実行など）したファイルがスキャンされます：
   • ファイルにウイルスなどのマルウェアが検知されない場合、Kaspersky Security はファイルへのアクセスを許可します。
   • ファイルにウイルスなどのマルウェアが検知された場合、Kaspersky Security は仮想マシンに割り当てられたプロテクションプロファイルに設定されている処理を実行します。たとえば、ファイルを駆除したり、ブロックしたりします。

ネットワーク脅威対策と仮想インフラストラクチャとの対話は、コンポーネントのトラフィック処理モードによって異なります。標準のトラフィック処理モードを使用している場合、ネットワーク脅威対策と VMware 仮想インフラストラクチャは、次のように対話します：

1. 仮想フィルターが、保護対象仮想マシンのトラフィックでのネットワークパケットの送受信を取得して、SVM にインストールされたネットワーク脅威対策に転送します。
2. アクティブな Kaspersky Security ポリシーでネットワーク脅威対策が有効になっている場合、ネットワーク脅威対策は指定された保護設定に従ってネットワークパケットをスキャンして、ネットワーク攻撃特有の動作や、保護対象インフラストラクチャへの侵入の兆候を示す疑わしいネットワーク活動を検知します。HTTP リクエスト内のすべての URL をスキャンして、それらが URL のスキャン設定で指定された URL のカテゴリに属しているかを確認することもできます。

   Kaspersky Security がネットワーク攻撃、疑わしいネットワーク活動、または検知対象に選択された URL カテゴリに属する URL を検知しない場合、ネットワークパケットの転送を許可します。

   ネットワークの脅威が検知された場合、Kaspersky Security は次を実行します：

   • ネットワーク攻撃に特有の動作が検知された場合、Kaspersky Security はポリシーで設定された処理を実行します。たとえば、ネットワーク攻撃を実行している IP アドレスから着信するネットワークパケットをブロックまたは許可します。
   • 疑わしいネットワーク活動が検知された場合、Kaspersky Security はポリシーで設定された処理を実行します。たとえば、ネットワーク攻撃を実行している IP アドレスから着信するネットワークパケットをブロックまたは許可します。
   • URL が検知対象に選択された 1 つ以上の URL カテゴリに属している場合、Kaspersky Security はポリシーで設定された処理を実行します。たとえば、URL へのアクセスをブロックしたり許可したりします。

VMware NSX-V Manager によって管理されるインフラストラクチャに Kaspersky Security が導入されていて、ネットワーク保護が監視モードで実行されている場合、ネットワーク脅威対策と仮想インフラストラクチャは、次のように対話します：

1. 仮想フィルターは、仮想マシントラフィックのコピーをネットワーク脅威対策に送ります。
2. アクティブな Kaspersky セキュリティポリシーでネットワーク脅威対策が有効になっている場合、ネットワーク脅威対策は指定された保護設定に従って、標準モードと同じようにネットワークパケットと URL をスキャンします。侵入の兆候や危険であるか不正な URL へのアクセス試行が検知された場合、脅威を防止するための動作は実行せず、Kaspersky Security Center 管理サーバーに検知した脅威に関する情報の送信のみ実行します。