ビジネスサポートポータルアカウントでログイン
Deep Security Virtual Appliance インストール手順 (vShield 環境)  

Deep Security Virtual Appliance インストール手順 (vShield 環境)

    • 更新日:
    • 19 Jun 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Virtual Appliance すべて
概要
Deep Security Virtual Appliance (以下、DSVA) のインストール手順について教えてください。
詳細
Public
DSVA は、VMware vSphere 環境用に構築された仮想アプライアンスです。VMware VMsafe API と連携することにより、侵入防御、ファイアウォール、Web レピュテーション機能で VMware 環境内の仮想マシンを保護することが可能になります (バージョン 9.5 まで)。また、VMware vShield Endpoint と統合することで、不正プログラム対策、変更監視の機能を使用することも可能となります。

Step 1, 2, 3 は不正プログラム対策または変更監視機能を使用する場合に必須になります。また、バージョン 9.6 以降では、VMware 社による VMsafe API のサポート終了のため Filter Driver が存在しません (DSVA 9.6 以降ではファイアウォール/侵入防御/Web レピュテーション機能を使用することはできません)。そのため、Step 5 はスキップしてください。

ヒント

本製品 Q&A では、vShield 環境でのインストール手順を記載しています。インストールガイドもあわせてご参照ください。NSX 環境における DSVA?のインストール手順は対象外となります。また、DSVA のアップグレード手順については、以下製品 Q&A をご覧ください。

?

Step 1 vShield Manager の構築

事前に、vShield Manager のインストールイメージを VMware 社から取得しておく必要があります。

vShield Manager のイメージファイル を展開する

  1. vSphere Client で vCenter または ESXi にログインし、[ファイル] → [OVF テンプレートのデプロイ]を実行します。
  2. 「ソース」選択画面が表示されます。ダウンロードしておいた vShield Manager のイメージファイルを指定して「次へ」をクリックします。
  3. 「OVF テンプレートの詳細」画面が表示されます。そのまま「次へ」をクリックします。
  4. 「エンドユーザ使用許諾契約書」画面が表示されます。「次へ」をクリックします。
  5. 「名前と場所」画面が表示されます。vShield Manager の名前とイメージファイルを展開する ESXi サーバを選択します。
  6. 「ディスクのフォーマット」画面が表示されます。「シン プロビジョニング フォーマット」を選択して「次へ」をクリックします。
  7. 「終了準備の完了」画面が表示されます。「終了」をクリックします。イメージファイルが展開され vShield Manager が ESXi に登録されます。

    ※ 詳細につきましては、VMware 社のマニュアル等も併せて参照してください。

vShield Manager コンソールから IP アドレスを設定する

  1. 仮想マシンとして登録された vShield Manager を起動します。
  2. vShield Manager のコンソール画面を開き、[Manager login] が表示されるのを待ちます。表示されたら、[ログイン名:admin][パスワード:default] を入力します。
  3. ログイン後、プロンプトが [Manager>] と表示されますので、enable コマンドを実行します。再びパスワードを求められますので、[パスワード:default] を入力します。
  4. プロンプトが [Manager#] に切り替わります。[setup] コマンドを実行します。
  5. IP アドレス、デフォルトゲートウェイ、DNS サーバ、DNS search list を入力します。
vShield Manager から接続が必要なコンポーネントは、VMware vCenter、Deep Security Manager、Deep Security Virtual Appliance となります。複数のネットワーク (例:サービス LAN、運用・管理 LAN など) が構成された環境では、これら対象に接続可能な vSwtich、IP アドレスを必ず割り振るようにしてください。

vShield Manager Web コンソールから vCenter に登録

  1. vShield Manager に割り振った IP アドレスに対し https 接続が可能な端末でブラウザを起動します (例:https://[vShield Manager のアドレス]/)。
  2. vShield Manager への接続後、[ユーザ名:admin] [パスワード:default] を入力し、ログインします。
  3. ログイン後、トップ画面の中央にある [vCenter Server information] の中に vCenter のログインユーザ・パスワードを入力してください。
  4. vCenter に正常に接続が行われると、画面左ペインに vCenter に登録されているホストや仮想マシンのインベントリのツリー情報が表示されます。

実施後チェックリスト

  • vShield Manager にログオンできる
  • vCenter Server に接続ができており、左メニューにインベントリのツリー情報が表示されている

Step 2 vShield Endpoint のインストール

  1. vCenter への登録後、ESXi に vShield Endpoint をインストールして不正プログラム対策が利用できるようにします。画面左ペインのツリー上を展開し、対象の ESXi ホストをクリックします。その後、[Summary] タブの中にある [vShield Endpoint] の [Install] をクリックします。インストールが完了すると、以下のように [Uninstall] ボタンが表示されます。
  2. インストール後、[Summary] タブの隣にある [Endpoint] タブをクリックします。Endpoint Status の「Normal」欄に Host Events がカウントされていることを確認します。

実施後チェックリスト

  • vShield Manager 上で、対象の ESXi の Summary タブの “vShield Endpoint” の “Installed“ 欄にビルド番号が記載されている
  • vShield Manager 上で、対象の ESXi の Endpoint タブの "Endpoint Status" の「Normal」に Host Events がカウントされている

Step 3 vShield 用ドライバ (VMware Tools) のインストール

DSVA で不正プログラム対策/変更監視機能を使用する場合、ESXi への vShield Endpoint のインストールだけでなく、保護対象の仮想マシンへのドライバのインストールが必要です。現在、このドライバは VMware Tools に統合されています。

ドライバの名称は ESXi のバージョンによって異なります。これらの名称は、今後予告なく変更される可能性があります。インストールすべきドライバの名称が不明な場合、VMware Tools の全てのコンポーネントをインストールするか、VMware 社サポートにお問い合わせください。

    • ESXi 5.5 u2 よりも前 : 「vShield ドライバ (vShield Endpoint Thin Agent)」
    • ESXi 5.5 u2 以降 : 「Guest Introspection ドライバ (Guest Introspection Thin Agent)」
    • ESXi 6.0 Patch 1 (ESXi-6.0.0-20150704001-standard) 以降 : 「NSX File Introspection Driver」

※ ESXi 6.0 Patch 1 以降の場合、「NSX Network Introspection Driver」も選択することができますが、これは DSVA による保護では使用しませんので、インストールする必要はありません。

  1. DSVA による不正プログラム対策・変更監視を実行したい仮想マシン上で、VMware Tools のインストーラを実行します。
  2. VMware Tools のインストールウィザードが表示されます。セットアップ タイプの画面が表示されたら、[完了] または、[カスタム] を選択します。
  3. [完了] を選択した場合は自動的に vShield 用ドライバがインストールされますので、そのままインストールの実行まで進めてください。[カスタム] を選択した場合は、カスタム セットアップの画面で、[VMCI ドライバ] のツリー内にあるドライバ のインストールを選択してください (ドライバの名称は上記のとおり ESXi のバージョン・ビルドによって異なります)。
  4. インストール後、仮想マシンの再起動を行います。

Step 4 vCenter Server および vShield Manager の登録

  1. Deep Security Manager (以下、DSM) 管理コンソールにログインし、[コンピュータ]?→?「コンピュータ」を右クリック → 「VMware vCenter の追加」をクリックし、vCenter Server および vShield Manager を登録します。登録が完了すると、vCenter で管理されている仮想マシンが DSM 上に表示されます。
  2. DSM 管理コンソールにログインし、[管理] → [アップデート] → [ソフトウェアのアップデート] タブを選択し、ソフトウェアパッケージ欄に Filter Driver (DSVA 9.5 以下を使用する場合のみ) および Appliance のパッケージが登録されていることを確認します。登録されていない場合、最新版ダウンロードページからソフトウェアをダウンロードし、「ソフトウェアのインポート」からインポートを行います。

実施後チェックリスト

  • DSM のコンピュータ画面に登録・同期した vCenter Server が管理している ESXi や仮想マシンの情報が表示されている
  • システムイベントに「ID 364 : VMware vCenterとの同期の完了」イベントが記録されている
  • DSM から vCenter Server/vShield Manager の 443 番ポートに通信できる
  • ESXi にインストール/配信する Filter Driver と DSVA を DSM にインポートしている

Step 5 Filter Driver のインストール (バージョン 9.5 以下の場合のみ)

Filter Driver がインストールされていない ESXi はステータスが「準備が未完了」になっています (Filter Driver のインストールが完了すると、「準備完了」になります。DS 9.6 以降の場合は、DSVA を配信後、有効化が完了したタイミングで対象 ESXi のステータスが「管理対象」になります)。不正プログラム対策、変更監視機能を使用する場合は、vShield Endpoint のステータスが「インストールされています」となっていることを確認してください。

Filter Driver をインストールする時は、インストールを実行する ESXi 上の仮想マシンはすべて停止させておくか、別の ESXi に移動する必要があります。
Filter Driver をインストールする際には ESXi が再起動します。vSphere Client や ESXi のコンソールから、ESXi のステータスや動作を確認してください。

また、DSVAを導入するESXホストには、DSVAと同一パッチレベルのFilter Driverをインストールする必要があり、いずれも各バージョンの最新のビルドをダウンロードセンターより入手してインストールすることを推奨します。

  1. DSM 管理コンソールの [コンピュータ] 画面から Filter Driver をインストールしたい ESXi サーバを選択し、右クリックのメニューで [処理] → [ESXiの準備...] をクリックします。

  2. 「次へ>」をクリックします。
  3. ESXi をメンテナンスモードにする処理や再起動処理を DSM で自動的に実行するか、をきかれるため「はい」を選択し「完了」をクリックします。
  4. Filter Driver のインストールが完了すると、以下画面が表示されます。また、ESXi のステータスが「準備完了」になります。?そのまま DSVA を配信する場合は、「Deep Security Virtual Applianceを今すぐ配置します。」を選択し「次へ>」をクリックします。

実施後チェックリスト

  • DSM のコンピュータ一覧画面にて対象の ESXi のステータスが「準備完了」となっており、「Filter Driverのバージョン」に正しくバージョン情報が記載されている

Step 6 DSVA の配信

DSVA が接続が必要なコンポーネントは、VMware vCenter, Deep Security Manager, vShield Manager です。管理ネットワークを指定する際はこれら対象に接続可能なネットワークを必ず割り振るようにしてください。

ヒント

Deep Security 9.6 から「Agentレスによるセキュリティの配信」ウィザードが導入されました。これは、旧バージョンで行っていた「Filter Driver のインストール (ESXi の準備)」および「DSVA の配置 (Appliance の配置)」が 1 つのウィザードに統合された、というイメージです。DSVA を配置する ESXi のバージョン (6.0 or 5.x) にあわせて、本ウィザードで実行できる処理の内容が異なります。

      • ESXi 6.0 : DSVA の配置のみ
      • ESXi 5.x : DSVA の配置および (または) Filter Driver のインストール

DSM/DSVA 9.5 以下

  1. DSM 管理コンソールの [コンピュータ] 画面から DSVA を配信したい ESXi サーバを選択し、右クリックのメニューで [処理] → [Applianceの配置...] を実行します (Filter Driver のインストール後に「今すぐ配置します。」を選択した場合は不要です)。
  2. 「次へ>」をクリックします。

事前に、配信する DSVA のパッケージを DSM にインポートしておく必要があります。インポートが完了していない場合、以下のようなメッセージが表示されます。

  1. 配置する DSVA の Appliance 名を入力し、データストア・フォルダ・管理ネットワークを選択します。

  2. Appliance のホスト名とネットワーク情報を設定します。

ESXi のホスト名および設定した DSVA のホスト名は DSM から名前解決ができる必要があることに注意してください。また、 DSVA、ESXi からも DSM の名前解決ができる必要があります。名前解決が出来ない場合、双方で通信が出来ず正常に動作しません。
  1. 仮想ディスクの形式に「シックプロビジョニング形式」を選択し、「完了」をクリックします。DSVA の配信処理が実行されます。
  2. 配信処理が完了すると、以下画面が表示されます。「いいえ、後で有効化します。」を選択し、「次へ>」をクリックします。

  3. DSM のコンピュータ一覧に DSVA が追加されていることを確認します。

DSM/DSVA 9.6 以降 (ESXi 6.0)

  1. DSM 管理コンソールの [コンピュータ] 画面から DSVA を配信したい ESXi サーバを選択し、右クリックのメニューで [処理] > [Agentレスによるセキュリティの配信...] を実行します。
  2. 「Agentレスによるセキュリティの配信」ウィザードが表示されます。「次へ>」をクリックします。

事前に、配信する DSVA のパッケージを DSM にインポートしておく必要があります。

  1. 配置する DSVA の Appliance 名を入力し、データストア・フォルダ・管理ネットワークを選択します。
  2. Appliance のホスト名とネットワーク情報を設定します。
ESXi のホスト名および設定した DSVA のホスト名は DSM から名前解決ができる必要があることに注意してください。また、 DSVA、ESXi からも DSM の名前解決ができる必要があります。名前解決が出来ない場合、双方で通信が出来ず正常に動作しません。
  1. 仮想ディスクの形式に「シックプロビジョニング形式」を選択し、「次へ>」をクリックします。
  2. 以下画面が表示されます。「完了」をクリックすると、DSVA の配信処理が実行されます。
  3. 配信処理が完了すると、以下画面が表示されます。「いいえ、後で有効化します。」を選択し、「次へ>」をクリックします。
  4. DSM のコンピュータ一覧に DSVA が追加されていることを確認します。

DSM 9.6 以降 / DSVA 9.0/9.5 or 9.6 (ESXi 5.x)

  1. DSM 管理コンソールの [コンピュータ] 画面から DSVA を配信したい ESXi サーバを選択し、右クリックのメニューで [処理] > [Agentレスによるセキュリティの配信...] を実行します。
  2. 「Agentレスによるセキュリティの配信」ウィザードが表示されます。「次へ>」をクリックします。

事前に、配信する DSVA のパッケージを DSM にインポートしておく必要があります。

  1. 処理を選択する画面が表示されます。DSVA 9.0/9.5 を使用する場合は両方のチェックを、DSVA 9.6 を使用する場合は 1 つ目のチェックのみを有効にします (Filter Driver はインストールしないでください)。
  2. (Filter Driver のインストールにチェックを入れた場合) ESXi をメンテナンスモードにする処理や再起動処理を DSM で自動的に実行するか、をきかれるため「はい」を選択し「次へ>」をクリックします。
  3. 配置する DSVA の Appliance 名を入力し、データストア・フォルダ・管理ネットワークを選択します。
  4. Appliance のホスト名とネットワーク情報を設定します。
ESXi のホスト名および設定した DSVA のホスト名は DSM から名前解決ができる必要があることに注意してください。また、 DSVA、ESXi からも DSM の名前解決ができる必要があります。名前解決が出来ない場合、双方で通信が出来ず正常に動作しません。
  1. 仮想ディスクの形式に「シックプロビジョニング形式」を選択し、「次へ>」をクリックします。
  2. 選択した処理に応じて、以下のどちらかの画面が表示されます。「完了」をクリックすると、(Filter Driver のインストールおよび) DSVA の配信処理が実行されます。
  3. 配信処理が完了すると、以下画面が表示されます。「いいえ、後で有効化します。」を選択し、「次へ>」をクリックします。
  4. DSM のコンピュータ一覧に DSVA が追加されていることを確認します。

実施後チェックリスト

  • DSM のコンピュータ一覧画面に配信した DSVA が表示されている

ヒント

バージョン 9.0 以下の場合、配信された DSVA の初期設定のメモリサイズは 2 GB となります。インストール完了後、vSphere Client の仮想マシン設定の編集から、メモリのサイズを 4 GB 以上に変更してください。

Step 7 DSVA の設定変更と有効化

DSVA のタイムゾーンの設定 (バージョン 9.0 以下)

  1. vSphere Client から DSVA コンソールに接続します。
  2. 「F2」を入力して DSVA コンソールにログインします (初期ユーザ/パスワード : dsva/dsva)。
  3. Configure Time Zone で「Asia/Tokyo」を設定します。
  4. ログアウトし、時間が日本時間となっていることを確認してください。

DSVA のタイムゾーンの設定 (バージョン 9.5、9.6)

  1. vSphere Client で DSVA コンソールに接続します。
  2. Alt?+ F4 を入力して DSVA の CLI にログインします (初期ユーザ/パスワード : dsva/dsva)。
  3. date コマンドで現在の時刻およびタイムゾーンを確認します。
  4. 以下コマンドで現在のタイムゾーン設定をバックアップします (パスワード : dsva)。

    sudo cp /etc/localtime /etc/localtime-old

  5. (オプション) 以下コマンドで、設定可能なタイムゾーンを確認します。

    ls /usr/share/zoneinfo

  6. 以下コマンドで、タイムゾーンを変更します。

    sudo cp /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

  7. date コマンドで、タイムゾーンが変更されていることを確認します。

DSVA の有効化

  1. DSM?管理コンソールの [コンピュータ] 画面から DSVA を選択し、右クリックのメニューで [処理] → [Applianceの有効化...] を実行します。
  2. 「次へ>」をクリックします。
  3. ポリシーを選択し、「次へ>」をクリックします。

  4. 「ホスト仮想マシンの有効化:」画面が表示されます。「いいえ、後で有効化します。」を選択し「完了」をクリックします (このタイミングで仮想マシンを有効化しても特に問題はありません)。

  5. DSVA 有効化後、vShield Endpoint のステータスが「登録されています」となっていることを確認してください。DSVA 9.5 以降では、有効化時にインポートされている最新の RHEL 6 (x64) 用 DSA Linux ソフトウェアパッケージによって DSVA のアップグレードが行われ、Appliance のバージョンが該当のビルドになります (管理コンソールの [管理] > [システム設定] > [アップデート] > 「Virtual Applianceのバージョン管理」にて、有効化時に使用するビルドを選択することも可能です)。

vShield Manager から全てのコンポーネントが正常稼動しているか確認 (不正プログラム対策、変更監視の機能を使用する場合のみ)

  1. vShield Manager の Web コンソールにアクセスします (https://[vShield Manager のアドレス/])。
  2. 接続後、[ユーザ名:admin] [パスワード:default] を入力し、ログインします。
  3. 画面左のインベントリのツリー情報内にある、DSVA を配信した ESXi ホストをクリックし、[Endpoint] タブをクリックします。
  4. ESXi ホスト (Host)、DSVA (Secured VM) および保護対象仮想マシン (vShield VM)?のステータスがすべて「Normal」であることを確認します。

各仮想マシンの有効化手順

  1. DSM 管理コンソールの [コンピュータ] 画面から有効化する仮想マシンを選択します。
  2. 右クリックのメニューで [処理] → [有効化/再有効化] を実行します。
  3. 有効化完了後、ステータスが「管理対象 (オンライン)」になっていることを確認します。

実施後チェックリスト

  • DSM 上で DSVA および保護対象仮想マシンのステータスが「管理対象 (オンライン)」になっている
  • DSVA のコンソールでタイムゾーンが JST になっている

Step 8 (オプション) Deep Security Notifier のインストール

Deep Security Notifier はオプションでインストールすることができます (Windows のみ)。

VMCI を有効化する (バージョン 9.0 以降では不要)

  1. vSphere Client にて、不正プログラム対策機能を実行したい仮想マシンが登録されているvCenter に接続します。
  2. vCenter 接続後、該当の仮想マシンを右クリックし、[設定の編集] を選択します。
  3. 仮想マシンのプロパティ画面内の [ハードウェア] タブ内の、[VMCI デバイス] を選択します。[仮想マシン間でVMCI を有効化] にチェックを入れ、設定を保存します。

Deep Security Notifier のインストール

  1. Deep Security Notifier をインストールする仮想マシンにログインし、Notifier のインストーラーを実行します。
  2. インストールウィザードに従い、インストールを行います。
  3. インストール後、タスクバーに Notifier のアイコンが存在することを確認します。
Premium
Internal
評価:
カテゴリ:
インストール
Solution Id:
1097198
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド