VMware Horizon®
Cloud Service on Microsoft Azure環境における
ウイルスバスター ビジネスセキュリティサービス(VBBSS)利用について

公開日
2020年2月3日

トレンドマイクロ VMwareテクニカルアライアンス担当 栃沢です。

近年、中~大規模な仮想デスクトップ環境におけるセキュリティ保護としては、Deep Security Virtual Appliance(DSVA)を利用したエージェントレス型をご採用頂くケースが多くなっています。
一方で、中小規模で、仮想デスクトップ環境を利用したいというユーザ様の中では、VMware Horizon® Cloud Service™ on Microsoft Azure(以下VMware Horizon on Azure)を利用したいというニーズも増え始めています。
VMware Horizon on Azureは仮想デスクトップをAzureインフラ上にVirtual Machinesとして展開することになる為、VMware vSphere®及びVMware NSX®の展開が必要なDSVAを利用することができません。

そこでエージェント型セキュリティとしてSaaS提供が可能なウイルスバスター™ ビジネスセキュリティサービス(VBBSS) を、VMware Horizon on Azure環境で利用することをVMware様の協力を得て検討をしてみました。
VMware Horizon on Azureでは、仮想デスクトップの割り当て方法として、「専用」と「フローティング」が選択できます。「フローティング」はユーザログオン時にプール内の未割り当ての仮想デスクトップがランダムに割り当てられ、ユーザログオフ時に仮想デスクトップがリフレッシュされます。
そのため、この様な環境下でもセキュリティエージェントの管理をきちんと実現できるかがポイントになると想定し、この点を明らかにするための共同検証を実施しました。
(「専用」の場合、展開した仮想デスクトップは同一のユーザに永続的に割り当てられることになる為、セキュリティエージェントの管理は従来のラップトップPCと変わりません。このため今回は検討のフォーカスから外しています。)

共同検証の結果、VBBSSはHorizon Cloud on Azure環境下でもセキュリティエージェントとしての役割を果たし、不正なマルウェアの検知など、セキュリティソリューションとしてきちんと動作することが確認できました。

ただし、VBBSSを「フローティング」環境で利用する場合、運用上のポイントがいくつかあることが明らかになりましたので、そのポイントについて、ご紹介します。

【事前にご確認ください】
このブログの内容は特定の環境における確認に基づくものであり、実際の運用環境では資料に記載していない事象が発生する可能性があります。
VBBSSの仕様に関するお問い合わせはVBBSSの購入元パートナー様のサポート窓口経由で可能ですが、仮想デスクトップのすべての展開方法を保証するものではありません。想定する利用方法に応じて事前に十分な確認、検証を実施することを推奨します。
また、VBBSSはサービス提供パートナー様からの販売のみとなっており、パートナー様ごとにサービス名称、サポート内容が異なりますので、VMware Horizon on Azure環境における利用についてのサポート可否について、事前にサービス提供パートナー様にご確認ください。
サービス提供パートナー様は以下のサイトからご確認いただけます。

VBBSSの仕様

VBBSSはトレンドマイクロが提供する中小規模向けの不正マルウェア対策で、トレンドマイクロがインターネット経由で提供するVBBSSコンソールから一元的な管理を可能にするソリューションです。

VBBSSセキュリティエージェント(以下セキュリティエージェント)を仮想デスクトップ(Windows OS)へインストールする際には、ユーザ管理者がVBBSSコンソールからエージェントインストーラを取得して仮想デスクトップユーザに配布する必要があります。

取得したインストーラには、ユーザ企業ごとにセキュリティエージェントがアクセスするVBBSSコンソールの情報が組み込まれています。仮想デスクトップユーザがインストールを実行するとセキュリティエージェントがVBBSSコンソールに登録されます。登録された際にVBBSSコンソールはそれぞれのセキュリティエージェントを管理するためにGUIDという一意に割り振られるIDを付与します。GUIDはセキュリティエージェントがアンインストールされない限り変更されることはありません。
GUIDについては各仮想デスクトップのセキュリティエージェントのアイコンから確認することが可能です。

また、セキュリティエージェントはOSへのログオン情報も取得しているため、VBBSSコンソールには展開された仮想デスクトップの情報と共に直近のログオンユーザの情報も登録されます。

VMware Horizon on Azureフローティング方式の仮想デスクトップ環境においてVBBSS利用時に想定される課題

フローティング方式で展開された仮想デスクトップ環境では、プールにある仮想デスクトップをユーザがログオン時に流動的に割り当てて利用します。またログオフ後はイメージVMにリフレッシュされてプールに戻されて、次のユーザのログオンを待つことになります。
上記のような環境において、セキュリティエージェントをインストールして運用する場合、以下のような課題が想定されます。

  1. ログインごとにパターンファイル、ソフトウェアプログラムがイメージVM作成時の状態に戻ってしまう
  2. マスターVMにVBBSSをインストールする際にGUIDが付与されてしまい、そのまま仮想デスクトップの展開を行うとGUIDも複製されてしまい、エージェントの管理ができない
  3. Azure VMのレベルでは同じVMに対して複数のユーザがログインを行うため、マルウェア検出があった場合に管理者がユーザ単位で管理ができるか
  4. イメージVMに対するパッチ適用後にマスターVMの更新を行い、仮想デスクトップをプールに再展開した際にもセキュリティエージェントの管理及びセキュリティ機能の提供が継続できるか

VMware Horizon on Azureフローティング方式でVBBSSを利用する場合に抑えておくべきポイント

上記の課題を踏まえて、VBBSSを利用する場合のポイントを以下に解説していきます。

・フローティング方式の場合には、ユーザのログオフごとにセキュリティエージェントのパターンファイルがマスターVM作成時の状態にリフレッシュされます。さらにパターンファイルが14世代以上古い状態となる場合には、仮想デスクトップ起動後に毎回フルパターンをダウンロードすることになります。
上記を踏まえて、定期的なマスターイメージの更新を考慮しておくことを推奨します。

  • Microsoft Azure環境ではダウンロードトラフィックは課金対象になりませんが、ダウンロード時のパフォーマンスには留意が必要な場合あります。
  • セキュリティエージェントがVBBSSコンソールへステータス確認を行う際に最新のパターンファイルがある場合に、パターンファイルのダウンロードを実行します。
  • パターンファイル以外にもセキュリティエージェントのプログラムの更新も定期的に発生します。


・仮想デスクトップのマスターVM作成または再更新を行う際には、VBBSSの“イメージ複製セットアップツール”をマスターVMで実行してGUIDの削除を行った後、イメージVMの作成を行ってください。(“イメージ複製セットアップツール”はVBBSSコンソールからダウンロード可能です。)

また、イメージ複製セットアップツールを実行する前に、セキュリティエージェントに対して適用したいポリシーの配信が完了していることを必ず確認してください。完了前にイメージ複製セットアップツールを実行してしまうとデフォルトのポリシーのままでマスターVMが作成されてしまいます。

・仮想デスクトップの再更新を行う際には事前にVBBSSコンソールからセキュリティエージェントのアンインストールを実行して、ライセンスシート数の超過によるエージェント未登録が発生しないようにしてください。

アンインストール処理をコンソール上で実施しないと、更新前のイメージで展開していた仮想デスクトップに導入されたVBBSSセキュリティエージェントのエントリーがオフライン状態で残ってしまいます。その状態でイメージの再展開を行うと、新たに同数のセキュリティエージェントを登録しようとしますが、VBBSSコンソールはライセンス超過を検出するため、セキュリティエージェントが登録できません。

また、ライセンス超過を防ぐために、VBBSSの契約時には必ず仮想デスクトップの展開数に加えて、マスターVM分のセキュリティエージェント数をライセンス購入するようにしてください。

    ・フローティング方式の場合、ユーザが仮想デスクトップVMを使いまわす形となるが、VBBSSではログオン情報を取得しているため、ユーザごとでのマルウェア検知状況を把握することが可能です。 ただし、仮想デスクトップ(Azure VM単位)で検知状況を確認する場合には、どのユーザがログオンをしていた時に検知したのか、仮想デスクトップの再更新がされた前か後かを確認することがしづらくなりますので、留意が必要です。

・フローティング方式の場合、ユーザのログオフ時に仮想デスクトップのリフレッシュが実行されるため、マルウェア検体を取得することができませんので、留意してください。

今回はVBBSSをVMware Horizon on Azureを利用する際のポイントについて解説しました。どちらも数百ユーザ程度の仮想デスクトップ環境をライトに使いたいユーザ様向けに最適なソリューションとなっています。また、VMware Horizon on Azureはフローティング方式でも仮想デスクトップのリフレッシュ及びユーザの割り当て方式がシンプルなため、エージェント型でも制約事項はあるものの利用は頂けるかと思います。
一方、ある程度の規模で展開するオンプレミスでのVMware Horizon®においては様々な展開方式があり、仮想デスクトップの生成やディスクの割り当てなども多岐にわたります。トレンドマイクロは、管理面からもエージェント型ではなく、仮想デスクトップにはDSVAのようなエージェントレス型セキュリティを適用することを強く推奨しています。
詳細はこちらの記事も参考にしてみてください。

執筆者:
トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部
ネットワークセキュリティチーム
シニアソリューションアーキテクト / VMware vExpert
栃沢 直樹 (Tochizawa Naoki)

お役立ちリンク集
Deep Security製品紹介
サポート
ヘルプ
製品ダウンロード

メールでのお問い合わせ
VMwareTech@trendmicro.com

Copyright © 2021 Trend Micro Incorporated. All rights reserved.