仮想化基盤のあれこれ

とあるIT企業でプリセールス所属だけどポストセールス(いわゆるデリバリー)を担当してます。VMware社製品が中心でしたがそれ以外にも手を広げ始めました。まぁクラウド時代なのでAWSとかAzureとかですね。

vSphere環境における、ホスト型のウイルス対策ソフト

こんにちは。Yos235です。

 

vSphere環境のウイルス対策ソフトと言えば、TrendmicroのDeepSecurityです。

 

VMware NSXとの組み合わせで隔離が出来るのがウリですけれども

エージェントを入れるよりホストで共有(スキャンした分をキャッシュする)

ことが一番わかりやすい効果かなと思います。

 

自動隔離をしない場合は、NSX無償版を利用することになっています。

help.deepsecurity.trendmicro.com

 

NSX for vShield Endpoint (free)

 

VMware Knowledge Base

VMware vShield Endpoint は、すべての vSphere エディションに vSphere 機能として含まれています。

 

このKBからするとvSphereに付属しているようです。2016年以降は。

 

 

とはいえ、NSX for vShield Endpointの最新情報を追っかけようとして

VMware社のドキュメントを探ってもこの名称で出てくる情報は

ちょっと古いものしか見つかりません。

なんでだろ、と思ったら

success.trendmicro.com

 

>ESXi 5.5 u2 よりも前 : 「vShield ドライバ (vShield Endpoint Thin Agent)」
>ESXi 5.5 u2 以降 : 「Guest Introspection ドライバ (Guest Introspection Thin Agent)」
>ESXi 6.0 Patch 1 (ESXi-6.0.0-20150704001-standard) 以降 : 「NSX File Introspection Driver」

 

バージョン毎にドライバ名が変わっているので、名前も変わったんですね。きっと。

VMware NSX for vSphere 6.2.x

VMware NSX for vSphere 6.3.x
VMware NSX Data Center for vSphere 6.4.x

 

 

 

 

 

ーーー

ちなみに、無償版を使用した場合の制限事項がこちらにまとめてあります。

success.trendmicro.com

>タスク実行の契機に「NSXセキュリティグループの変更」を選択したイベントベースタスクは、自動実行されません。

 

これがつまり、自動隔離の機能でしょうが、「使えません」ってことは

NSX有償版を買ってね、ということですね。

 

これはNSX for vShield Endpointをご利用いただく場合、Network Introspectionを使用することができず、NSXの情報をDSMにリアルタイムで伝えることができないためです。

 

…なるほど。そうだよね。

 

Network Introspection Driver (vnetflt.sys、vnetwfp.sys) はDSVAで利用しておらず、DSVAによる保護を有効化する目的で仮想マシン上に該当ドライバをインストールする必要はありません。

 

ということは、vnetflt.sysはNSX無償版では使われてなかったのか…

トラブルシュートで大体このファイルのせいで事象が発生することが多かったけど

それはvShield Endpoint環境は関係なかった(無実だった)のですね。

疑ってしまって申し訳ない…

 

今日は、この辺で。