ビュー:

Deep Security 9.0 以降より、”Deep Packet Inspection”および”DPI” が"侵入防御" に名称変更されました。

VMware vSphere クラスタ(HAおよびDRS)

Trend Micro Deep Securityの各コンポーネント(Manager, Agent, Relay, Virtual Appliance)は、vSphere HAおよびvSphere DRSクラスタをサポートしています。

なお、vSphereクラスタ環境でDeep Security Virtual Applianceをご使用する際は、以下の点にご注意ください。

  • Deep Security Virtual Applianceは、クラスタ内の全てのESXホストに配置してください。(これにより、仮想マシンが別ESXホストに移動した際にも、設定が引き継がれて保護が継続されます。)
  • 各ESXホストには、1台のDeep Security Virtual Applianceを配置してください。同一ESXホストに2台以上を配置する事はできません。
  • vSphereクラスタの設定で、Deep Security Virtual Appliance自体が別のESXホストへ移動しないようにしてください。
  • Deep Security Managerが稼働中のESXホストに対して、[ESXの準備 / Prepare ESX]でFilter Driverをインストールする事はできません。これはインストールの際にESXホストの再起動が必要となるためです。Filter Driverのインストール時には、インストール対象のESXホスト上から、Deep Security Managerおよびその他の稼働中の仮想マシンを別ESXホストに移動してください。
  • VMware DRSの設定を“一部自動化、完全自動化”している場合に、デスクトップを再構成(Recompose)、更新(Refresh)、再分散(Rebalance)を行うと、まれにDSの保護の引継ぎが失敗し保護が解除されるケースがあります。エラーは"オフライン、インターフェースの非同期"として表示されます。
    VMware DRSの設定を“一部自動化、完全自動化”している場合は、デスクトップの再構成(Recompose)、更新(Refresh)、再分散(Rebalance)前にvCenter側でDRSの設定を(*自動化⇒手動)にしてから実行する運用をしてください。

Microsoft Cluster Service(MSCS) / Microsoft フェールオーバー クラスタリング (MSFC)

Deep Security Agent Windows版 8.0 SP1以降で、MSCSおよびMSFCによるサーバクラスタをサポートしています。

ただし、Deep Security Agentのインストール/アンインストール/アップグレード時にはネットワークドライバのインストール/アンインストールが行われるため、ネットワークの瞬断が発生します。クラスタサービスを稼働中のままDeep Security Agentのインストール等を行うと、フェールオーバーが発生するだけでなく、クラスタサービスやSQL Server等のアプリケーションサービスが終了してしまいます。またフェールオーバークラスターマネージャーがノードの状態を正しく表示できなくなります。Deep Security Agentのインストールはクラスタのサービスを停止した状態で行う必要があります。

また、クラスタノードの稼働系では上記の通り、瞬断を考慮しクラスタサービスの停止状態でDeep Security Agentのインストール/アンインストール/アップグレードを実施する必要がありますが、待機系へのDeep Security Agentインストールに関しては、稼働系の瞬断と違い、フェイルオーバーする為の監視項目等からは除外される傾向がある為、待機系にてDeep Security Agentをインストールした場合でもクラスタリングソフトウェア側の設定によってはフェイルオーバーが発生しない可能性が高いものとなります。但し、冗長環境の設定によるものとなります為、必ずクラスタリングソフトウェア側の設定の確認と検証テストを実施してください。

なお、サーバクラスタ環境で使用する場合は、クラスタのハートビート通信を拒否しないように設定を行ってください。

Deep Security Virtual Appliance環境では、ゲストサーバの有効化/無効化処理を行うタイミングで、瞬断が発生しクラスタ設定によってはフェールオーバーが発生する可能性があります。
これは、ESXiの内部処理としてvNICと側でdvfilter_dsaの構成を変更しているためとなります。

Deep Security Virtual Applianceのゲストサーバの有効化/無効化の際にはあらかじめクラスタのサービスを停止しておく必要があります。

 

Microsoft ネットワーク負荷分散(NLB)

サポートされるDeep Security Agentの機能

Microsoft ネットワーク負荷分散(NLB)は、DS 10.0 Update 5 以降において次の機能のみサポートされています。
  • 不正プログラム対策機能 (NLBの影響なし)
  • ファイアウォール (NLBの挙動に影響のある機能。後述の設定によって回避可能。)
  • Webレピュテーション (NLBの影響なし)
  • 変更監視 (NLBの影響なし)
  • セキュリティログ監視 (NLBの影響なし)
  • アプリケーションコントロール (NLBの影響なし)
なお、侵入防御機能はサポートされません。
 

NLB環境でのDeep Security Agentの設定

ネットワーク負荷分散では、全ての受信パケットがクラスタ内の全てのホストにコピーされ送信されます。ネットワーク負荷分散が設定されたクラスタホストでDeep Security Agentを使用した場合、該当パケットを処理しないホスト上のDeep Security Agentでは、自ホスト宛てではないパケットが送信されてきている状態になるため、これらのパケットを拒否して「フラグが不正です / Invalid Flags」などのパケットの整合性に関するイベントが大量に記録されます。

そのため、NLBを利用している環境にDeep Security Agentをインストールされる際は、下記製品Q&Aを参考に、NLB関連の通信が誤検出されることを防ぐためのファイアウォールルールを適用してください。

 

上記製品Q&Aに記載されたルールの対象になっていないプロトコル(DHCP, DNS, ARP, etc.)の除外が必要なケースもあるため、導入時はタップモードを使用して必要な通信がブロックされていないことを事前確認し、 必要に応じて除外ルールを追加いただきますようお願い申し上げます。

その他

上記以外のクラスタ環境での動作テストなどは行っていません。お客様自身でDeep Security導入後に問題が生じないか十分にテストを実施した上での導入を推奨いたします。
トレンドマイクロでは、テストを実施していないクラスタ環境上で発生した問題に関しても調査は承るものの、Deep Securityの仕様上回避するのは困難な事象と判断した場合、解決策を提供できない可能性がある事をご了承ください。
 
キーワード: Deep Security,脆弱性対策オプション,DS_Index‐サポート/サイジング-冗長化関連,DS-FAQ-Support_Policy