今日はトレンドマイクロでDeep Securityのセミナを受講したのでその際の内容をメモして行こうと思います。
本当の本当にメモです。すみません。
セミナはVirtual ApplianceとVMware NSXに関する内容です。
Deep Security概要/DSVA
・クライアント環境のみでなくサーバ環境でも提案を進めれる
・クラウドではエージェント型の販売が伸びてきている
・SaaSの場合はエージェントのみ
・エージェントレスの場合はハイパーバイザ側でリソースを消費する
・ファイヤウォールの引き合いも伸び始めてきている
・DSM、VC、NSXManagerの連携がまず大事。次にDSVA、GIが必要。
・DSMは複数台の構成が可能
・DSM用DBは現状ではSQLorOracle
・ManagerにはAgentを入れてリレーにする
・DSVAのE1000NICはハイパーバイザーと内部的に疎通する(169.254.X.XこのセグメントはVMware側でハードコーディングしているので変更不可)
・DSVAはvSphereのUUIDとポリシーを紐づけている
・VMCIドライバはVMware Toolsのデフォルトインストールでは入らないのでカスタマイズインストールで必ず有効にする必要がある。NSXネットワーク自己検証ドライバ
有効にしてはいけない!
・Guest IntrospectionはTCP経由で(vShield Endpoint)MUXにアクセスする。セッションはUUID分ある。
・不正対策プログラムがオフラインですというメッセージの95%はGI⇄MUX、DSVA⇄MUXのセッション数に不整合があることが原因なのあでGUIやDSVAの再起動でほぼほぼ治る。
・不正プログラム対策の同時検索数を15台以上に増やすことをオススメしない(CPU、メモリ、ディスクIO負荷が上がるため。)推奨値は5台
・隔離さらたあとはフルスキャンをかけてタグを外すオプションがある。それか(然るべき対処を実施してから)手動でタグを外す。
・ポリシーについてはメーカとしてのベストプラクティスの資料の用意も開始している。
NSX for vShield Endpoint
・フル機能を使いたいときは有償のNSX Advancedが必要
・有償版NSXの場合は分散仮想スイッチが必須。無償版NSXの場合は標準仮想スイッチ、分散化そうスイッチどちらもいける
・構築手順はNSXの有償、無償の場合ほぼいっしょ。違いはNSXのライセンス投入とEBTの一手間が違う。
DSVA/NSX導入手順
・DNSの名前解決が必須となる
・NSXマネージャインストールして5分くらい待ってからログインする。
・Guest Introspectionのインストール前にvibを必ずインストールすること
DSVA・NSX TIPS
・停止手順および起動手順が非常に重要
・起動手順
1.VCの起動
2.NSXManagerの起動
3.Guest Itrospectionの起動
4.DSVAの起動
※停止の場合は上記の逆
・不正プログラム対策エンジンがオフラインの場合はかき2パターンがある
パターン1:復旧しない
パターン2:一時的に発生する
パターン1の場合は原因を特定して適切な対処が必要
パターン2の場合はDRS、vMotion等の一時的な発生の可能生が高い。