VMware NSX - Trend Micro Deep Security 連携編 (4) 運用編 Vol. 2

VMware Horizon を使用する際、セキュリティをより高めるために、VMware NSXの使用をする事が多いかと思います。NSXを使用すると、Trend Micro の Deep Security と連携して、より高度なセキュリティ担保を考える方も多いかと思いますが、いくつかつまづきポイントがあります。

ここでは、『VMware NSX - Trend Micro Deep Security 連携編』と題して、NSX と Deep Security を連携した際の Tips をご紹介します。

第四弾は 運用の注意点の補足です。

NSX と Deep Security を使用している環境で、Deep Security Virtual Appliance が停止してしまっていると、仮想マシンの起動が 35% で止まってしまい、正常に起動できない場合あります。

Deep Security Virtual Appliance を起動すれば、他の仮想マシンも正常に起動するので、正常に起動できない場合はこの事象を疑ってみてください。

参考:

Deep Security Virtual Appliance が停止していると仮想マシンを起動することができない
http://esupport.trendmicro.com/solution/ja-JP/1116638.aspx

VMware NSX - Trend Micro Deep Security 連携編 (3) 運用・構成上の注意

VMware Horizon を使用する際、セキュリティをより高めるために、VMware NSXの使用をする事が多いかと思います。NSXを使用すると、Trend Micro の Deep Security と連携して、より高度なセキュリティ担保を考える方も多いかと思いますが、いくつかつまづきポイントがあります。

ここでは、『VMware NSX - Trend Micro Deep Security 連携編』と題して、NSX と Deep Security を連携した際の Tips をご紹介します。

第三弾は 運用・構成上の注意点です。

VDI の様に ESXi ホスト上に大量の仮想マシンが載っている環境では、通常の Deep Security Manager のサイジングでは処理が捌けない事象が発生する事があります。

その際には、以下の事柄について検討していただく必要があります。

1. 1回の再構成(Recompose)、更新(Refresh)、DRS による再分散(Rebalance)を実施する仮想マシンの数を減らす（目安は500台です）
2. 1. で効果が見られなかった場合は以下のサイジングの変更を検討してください
• Deep Security Manager のメモリを増強する
• Deep Security Manager のノードを増やす

参考：

Deep Security サイジングhttp://campaign.vmware.com/imgs/apac/jp_dwn/PDF/techresources/NSX-VDI_Important_Point.pdf?elqTrackId=c3c0098993384ec88fab1f3eebcb7075&elqaid=979&elqat=2

VDI環境で再構成(Recompose)、更新(Refresh)、再分散(Rebalance)を実施する際の注意事項http://esupport.trendmicro.com/solution/ja-JP/1114930.aspx

　

VMware NSX - Trend Micro Deep Security 連携編 (2) NSX Guest Introspection SVMのメモリリーク

VMware Horizon を使用する際、セキュリティをより高めるために、VMware NSXの使用をする事が多いかと思います。NSXを使用すると、Trend Micro の Deep Security と連携して、より高度なセキュリティ担保を考える方も多いかと思いますが、いくつかつまづきポイントがあります。

ここでは、『VMware NSX - Trend Micro Deep Security 連携編』と題して、NSX と Deep Security を連携した際の Tips をご紹介します。

第二弾は NSX Guest Introspection SVM のメモリリークについてです。

NSX - Deep Security 連携の際には、連携を行う ESXi ホスト一つひとつに Guest Introspection SVM という仮想マシンを立てる必要がありますが、NSX のバージョンによってはメモリリークが発生して SVM のネットワークが切断、連携が解除されるという問題が発生します。解決法は下記です。

・　NSX for vSphere 6.3.0 以降をお使いであればこの問題の心配はありません。
・　第一弾の記事で示した、Network Introspection driver をインストールしない状態でVMware Tools をインストールしていれば、この問題はありません。
・　もし、インストールしてしまった場合は、下記の方法で driver を無効にできます。

1. コンソールや RDP で対象となる仮想マシンにログインします
2. スタートボタンを押し、[regedit]と入力、レジストリエディタを開きます
3. レジストリパス： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\vnetflt\]を参照し、右クリック、[修正]を選択します
4. 値を [4] に変更し、[OK]をクリックします
5. 仮想マシンを再起動します

VMware NSX - Trend Micro Deep Security 連携編 (1) VMware Tools の設定

VMware Horizon を使用する際、セキュリティをより高めるために、VMware NSXの使用をする事が多いかと思います。NSXを使用すると、Trend Micro の Deep Security と連携して、より高度なセキュリティ担保を考える方も多いかと思いますが、いくつかつまづきポイントがあります。

ここでは、『VMware NSX - Trend Micro Deep Security 連携編』と題して、NSX と Deep Security を連携した際の Tips をご紹介します。

第一弾は VMware Tools の設定です。

Deep Security を使用する際は、VMware Tools 上の [NSX Network Introspection]を無効にする必要があります。実施方法は下記です。

・　対象となる仮想マシンでVMware Tools インストーラをマウントします。
・　[Control Panel] > [Programs and Features] に移動します。
・　[VMware Tools] > [変更] を右クリックします。
・　[完全インストール] を選択します。
・　[NSX File Introspection] を検索します(Network Introspection 専用のサブ フォルダがあります)
・　Network Introspection を無効にします。

VMware NSX - Trend Micro Deep Security 連携編 (5) NSX, ESXi バージョンに関する注意

VMware Horizon を使用する際、セキュリティをより高めるために、VMware NSXの使用をする事が多いかと思います。NSXを使用すると、Trend Micro の Deep Security と連携して、より高度なセキュリティ担保を考える方も多いかと思いますが、いくつかつまづきポイントがあります。

ここでは、『VMware NSX - Trend Micro Deep Security 連携編』と題して、NSX と Deep Security を連携した際の Tips をご紹介します。

第五弾は NSXとESXiのバージョンに関する注意点です。

NSX 6.2.x を使用している環境で下記に示した ESXi のバージョン「より前」を使用していると、ESXi がパープルスクリーンになる恐れがあります。

・　ESXi 5.5 Patch 8 build-4179633
・　ESXi 6.0 Patch 3 build-4192238

上記のビルド以上の ESXi にアップグレードしていただけば、この問題は解決されています。