このコンテンツはオフライン用のローカルバージョンで、内容が古くなっている場合があります。最新のドキュメントを確認するには、https://help.deepsecurity.trendmicro.com/ja-jpにオンラインでアクセスしてください。

vCloud環境でのAgentレスによる保護の実施

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

VMware vCloudとの統合により、マルチテナント環境内のプライマリテナントは、Deep Security ManagerへのvCenterの追加、コネクタの構成、Deep Security Virtual Applianceの配置および管理を行うことができるようになります。テナントは、vCloud Organizationをクラウドアカウントとしてインポートして、AgentレスによるDeep Securityの保護をアカウントに適用できます。

Agentレスによる保護をvCloud Organizationに適用する場合は、不正プログラム対策モジュールと変更監視モジュールのみがサポートされており、vCloud Organizationをプライマリテナントではないテナントにのみ追加する必要があります。それ以外の保護モジュールを有効にするには、代わりにAgentベースの保護を使用する必要があります (vCloud環境でのAgentベースの保護の実施を参照してください)。

このトピックの内容:

vCloud仮想マシンのAgentレスによる保護を有効にする
マルチテナント環境を作成する
vCenterを追加してDeep Security Virtual Applianceを配置する
Deep SecurityでVMware vCloudリソースを使用できるように設定する
仮想マシンでVirtual Appliance保護を有効にする

vCloud仮想マシンのAgentレスによる保護を有効にする

Deep Security Managerコンソールで、[管理]→[システム設定]→[Agent] の順に選択します。
[ApplianceによるvCloud仮想マシンの保護を許可] チェックボックスをオンにします。
[保存] をクリックします。

マルチテナント環境を作成する

マルチテナント環境を作成するために必要なタスクは、主に2つあります。マルチテナントの有効化とテナントの作成です。これらのタスクの実施方法に関する詳細な手順、マルチテナント環境の要件と推奨事項については、マルチテナント環境の設定を参照してください。

vCenterを追加してDeep Security Virtual Applianceを配置する

プライマリテナントでvCenterを追加し、Deep Security Virtual Applianceを配置する必要があります。手順については、NSX AdvancedまたはEnterpriseへのDeep Security Virtual Applianceのインストールを参照してください。

Deep SecurityでVMware vCloudリソースを使用できるように設定する

vCloudとの統合を可能にするには、テナントがvCloudの「クラウドアカウント」のインポートに使用するユーザアカウントに、最小限の権限セットを割り当てる必要があります。また、新しい仮想マシンに一意のUUIDを割り当てるようにvCenterデータベースを設定する必要があります。

vCloudアカウントのテナントユーザ向けの最小権限のロールを作成する

vCloud Directorで作成するユーザアカウントは、Deep SecurityのテナントがDeep Security Managerにクラウドアカウントを追加するために使用します。このアカウントには [All Rights]→[General]→[Administrator View] の権限のみ必要です。

vCloud Directorにログインします。
[System] タブで [Administration] をクリックします。
左側のナビゲーションパネルで [Roles] をクリックします。
「プラス」記号 (+) をクリックして新しいロール (「DS_User」など) を作成します。
[All Rights]→[General] フォルダの [Administrator View] 権限を選択します。
[OK] をクリックします。

このロールが割り当てられたDeep Securityユーザは、vCloudリソースをDeep Security Managerにインポートできます。

Deep Securityのユーザにこの資格情報を提供する際は、vCloud OrganizationのIPアドレスも通知してください。また、vCloudのリソースをDeep Security Managerにインポートする際は、ユーザ名に「@orgName」を含めるように指示してください。たとえば、vCloudアカウントのユーザ名がkevinで、アカウントのアクセス権を付与されたvCloud OrganizationがCloudOrgOneである場合、Deep Securityのユーザは、vCloudのリソースをインポートするときにユーザ名として「kevin@CloudOrgOne」と入力する必要があります。(vCloud管理者の場合、@systemを使用します)。

クラウドアカウントで保護されているインスタンスへの接続にプロキシサーバを使用するよう、Deep Security Managerを設定できます。プロキシ設定は、[管理]→[システム設定]→[プロキシ]→[プロキシサーバの使用]→[Deep Security Manager (クラウドアカウント)] で行います。

新しい仮想マシンに一意のUUIDを割り当てるようにvCenterデータベースを設定する

Deep Securityでは、保護対象のすべての仮想マシンに一意のUUIDを割り当てる必要があります。vAppテンプレートから作成した仮想マシンにはUUIDを重複して割り当てることができるため、問題が発生する場合があります。ただし、このようなテンプレートから作成された仮想マシンに一意のUUIDを割り当てるようにデータベースを設定することができます。

次の情報は、VMwareのナレッジベースの記事「BIOS UUIDs in vCloud Director are not unique when virtual machines are deployed from catalog templates (2002506)」から抜粋したものです。

テンプレートから作成した新しい仮想マシンに一意のUUIDを割り当てるようにデータベースを設定するには、データベースのCONFIGテーブルでbackend.cloneBiosUuidOnVmCopyパラメータを0に設定する必要があります。

Oracleデータベースでこのパラメータを設定するには、Oracle Database Enterprise Managerを起動して次のコマンドを実行します。

この例の「VCLOUD」は、vCloud用に作成したデータベースの名前です。

set feedback on echo on

set linesize 120

update "VCLOUD"."CONFIG" set VALUE = '0' where NAME='backend.cloneBiosUuidOnVmCopy';

commit;

select * from "VCLOUD"."CONFIG" where VALUE = '0' and NAME='backend.cloneBiosUuidOnVmCopy';

Microsoft SQL Serverでこのパラメータを設定するには、SQL Server Management Studioを起動して次のコマンドを実行します。

USE VCLOUD

update config set value = '0' where name='backend.cloneBiosUuidOnVmCopy'

select * from dbo.config where value = 0 and name='backend.cloneBiosUuidOnVmCopy';

パラメータの設定が完了したら、vCloud Directorのすべてのセルを再起動します。

この変更は既存の仮想マシンには影響しません。

ゲスト仮想マシンでVMware Toolsの [OVF Environment Transport] を有効にする

ゲスト仮想マシンでVMware Toolsの [OVF Environment Transport] を有効にすると、guestInfo.ovfEnv環境変数がDeep Security Managerに公開され、Agentで仮想マシンを一意に識別することが容易になります。これにより、仮想マシンの誤認リスクが低減されます。

vCloud Directorで仮想マシンの [Properties] 画面を開き、[Guest OS Customization] タブに進んで [Enable guest customization] チェックボックスをオンにします。[OK] をクリックします。
vCenterで同じ仮想マシンを選択し、[Properties] 画面を開いて [Options] タブに進みます。
[vApp Options] をクリックし、[Enabled] オプションを選択します。これで [OVF Settings] が公開されます。
[OVF Settings] で、[OVF Environment Transport] エリアの [VMware Tools] チェックボックスをオンにします。[OK] をクリックします。

仮想マシンが実行中の場合は、変更を有効にするために再起動する必要があります。

Deep Securityで使用されるデータは、プロパティvmware.guestinfo.ovfenv.vcenteridおよびvmware.guestinfo.ovfenv.vcloud.computernameから取得されます。

仮想マシンでVirtual Appliance保護を有効にする

テナントは、vCloud Organizationをクラウドアカウントとしてインポートして、AgentレスによるDeep Securityの保護をアカウントに適用できます。

VMware vCloud Organizationアカウントからコンピュータをインポートする

Deep Security Managerで、[コンピュータ] セクションに移動し、ナビゲーションパネルで [コンピュータ] を右クリックし、[vCloudアカウントの追加] を選択してvCloudアカウント追加ウィザードを開きます。
追加するリソースの名前と説明を入力します (Deep Security Managerでの表示に使用されます)。
vCloudのアドレスを入力します (vCloud Directorホストコンピュータのホスト名です)。
ユーザ名とパスワードを入力します。
ユーザ名は、username@vcloudorganizationの形式にします。
[次へ] をクリックします。
Deep Security Managerによってクラウドリソースへの接続が確認され、インポート処理の概要が表示されます。[完了] をクリックします。

VMware vCloudのリソースが、Deep Security Managerのナビゲーションパネル内の [コンピュータ] の下に、それぞれ別個の項目として表示されます。

VMware vCloud Air仮想データセンターからコンピュータをインポートする

Deep Security Managerで、[コンピュータ] セクションに移動し、ナビゲーションパネルで [コンピュータ] を右クリックし、[vCloudアカウントの追加] を選択してvCloudアカウント追加ウィザードを開きます。
追加するVMware vCloud Air仮想データセンターの名前と説明を入力します (Deep Security Managerでの表示に使用されます)。
VMware vCloud Air仮想データセンターのアドレスを入力します。
VMware vCloud Air仮想データセンターのアドレスを確認するには、次の手順を実行します。
1. VMware vCloud Airポータルにログインします。
2. [Dashboard] タブで、Deep Securityにインポートするデータセンターをクリックします。[Virtual Data Center Details] 情報画面が表示されます。
3. [Virtual Data Center Details] 画面の [Related Links] セクションで、[vCloud Director API URL] をクリックします。vCloud Director APIの完全なURLが表示されます。
4. Deep SecurityにインポートするVMware vCloud Air仮想データセンターのアドレスとして、完全なURLのうちホスト名の部分だけを使用します。
ユーザ名とパスワードを入力します。
ユーザ名は、username@virtualdatacenteridの形式にします。
[次へ] をクリックします。
Deep Security Managerによって仮想データセンターへの接続が確認され、インポート処理の概要が表示されます。[完了] をクリックします。

VMware vCloud Airのデータセンターが、Deep Security Managerのナビゲーションパネル内の [コンピュータ] の下に、それぞれ別個の項目として表示されます。

仮想マシンでVirtual Appliance保護を有効にする

Virtual Appliance保護を有効にするには、[コンピュータ] リストで仮想マシンを右クリックし、[処理]→[有効化] をクリックします。