関連リンクに記載しているとおり、VMware VMsafe API のサポート終了に伴い、Deep Security Virtual Appliance (以下、DSVA) 9.6 以降では VMsafe API に依存する機能 (ファイアウォール/侵入防御/Web レピュテーション) を使用することができません。そのため、DSVA 環境にてこれらの機能を使用する場合は、各仮想マシンに Deep Security Agent (以下、DSA) をインストールする必要があります。このような、DSVA + DSA による保護を行うことを「コンバインモード」と呼びます。

 

コンバインモードでは、不正プログラム対策および変更監視機能を DSVA が、Web レピュテーション、ファイアウォール、侵入防御およびセキュリティログ監視機能を DSA が提供します。Deep Security 9.6では、各機能を DSA/DSVA のどちらで提供するか (例. 不正プログラム対策も DSVA ではなく DSA で)、といった設定はできませんが、10.0以降では各保護機能をDSAとDSVAのどちらから提供するかの選択が可能です。

コンバインモードが有効な場合、Notifier のステータスは以下のように「Agent/Appliance」となります。

DS 9.5 までは、DSVA + DSA による保護は「協調的保護」という形で提供されていましたが、DS 9.6 以降では協調的保護は使用することができません。コンバインモードと協調的保護は異なる機能です。 協調的保護の場合は、いわゆるホットスタンバイ型の構成となり、DSA がプライマリとして、DSVA がセカンダリとして保護を提供し、DSA がダウンした場合は、保護が DSVA に自動的に切り替わります。

一方、コンバインモードに冗長性はありません。DSA/DSVA のいずれか一方がダウンした場合でも、保護が他方に自動的に切り替わることはありません。

コンバインモードを有効にするためには、対象の仮想マシンが DSVA で保護可能な状態になっており、かつ DSA がインストールされている必要があります。この状態で仮想マシンを有効化すると、自動的にコンバインモードによる保護が有効になります。

 

すでに DSVA による保護が行われている場合は、DSA をインストール後再有効化を行えばコンバインモードによる保護が有効になります。下図は、DSVA による保護のみが行われている状態と、そこからコンバインモードを有効にした状態の仮想マシンのステータスのイメージです。

 

コンバインモードが有効な状態で、DSVA の無効化を実施した場合、不正プログラム対策機能 (や変更監視機能) が DSA で提供されるよう、ポリシーが送信されます。これによって、Windows 版 DSA で不正プログラム対策機能を提供するために必要なモジュール Anti-Malware Solution Platform (以下、AMSP) が DSA にインストールされます (各 DSA でソフトウェアアップデート (保護モジュールの配信) が行われます)。また、変更監視機能が有効な場合は、ベースラインの再構築も実行されます。保護対象仮想マシンが多数存在する環境では、これらの処理が一気に行われることによって、大量のネットワークトラフィックが発生したり、環境の負荷が増加する可能性があります。

 

切り分けなどで DSVA の保護を一時的に無効化する必要があり、上記のような状況を回避したい場合は、事前に、仮想マシンに適用しているポリシーで不正プログラム対策 (や変更監視) 機能をオフにしてください。