VMware Horizon環境での不正プログラム
対策のベストプラックティス

公開日
2019年5月23日

トレンドマイクロでDeep Securityを中心としたテクニカルアライアンスを担当している栃沢です。

仮想デスクトップ環境の導入が進む中でVMware Horizonによる展開方法も進化をしており、ユーザの選択肢も増えてきました。
一方で、クライアントOSに対する脅威への対応として、従来のウイルス対策ソフトをそのまま導入することによる運用上の弊害も顕在化してきました。このような背景から仮想デスクトップ環境の特性にフィットした実装を行えるTrend Micro Deep Security™のエージェントレス型セキュリティに対する導入ニーズはますます高まってきています。

今回は、トレンドマイクロが推奨する仮想デスクトップ環境におけるセキュリティ対策(不正プログラム対策)のベストプラックティスと導入のポイントをご紹介していきます。

■仮想デスクトップ環境においてエージェントレス型セキュリティとしてDeep Securityが採用される理由

仮想デスクトップ環境におけるセキュリティを検討する際には、仮想デスクトップ(=仮想マシン)をどのような方式でユーザに割り当てるかを把握しておくことが重要です。
VMware Horizon環境では仮想マシンとユーザの割り当てとして、以下の2つの方式が選択できます。
・専用割り当て方式
仮想マシンとユーザが紐づいており、ユーザは常に同じ仮想デスクトップにログインすることになる
・フローティング割り当て方式
仮想マシンとユーザは紐づいておらず、ユーザは仮想デスクトップにログインするたびに仮想デスクトッププールからリフレッシュされた仮想デスクトップが割り当てられる

リンククローンやインスタントクローンで多く採用されるフローティング割り当て方式では、消費ストレージの削減が可能になるとともに、仮想デスクトップを常にリフレッシュして利用することができるためセキュリティの観点からもメリットがあります。一方で、仮想デスクトップがリフレッシュされてしまう特性上、パターンファイルをどのように最新な状態に維持しておくかについての課題も発生します。
また、App Volumesなどを利用して、仮想デスクトップのOSとアプリケーション領域を分割して管理した場合には、ディスク構成などにも留意が必要です。
上記のような課題は、従来のウイルス対策ソフトウェアをそのまま仮想デスクトップ環境へ移行していくことでは解決できません。

トレンドマイクロでは、上記のような仮想デスクトップ環境におけるさまざまなニーズに最大限対応するためのソリューションとして、VMware NSXと連携をするDeep Security Virtual Appliance(以下DSVA)の採用を強く推奨しています。
各仮想デスクトップにエージェントをインストールしていないことで、パターンファイルの管理やApp Volumes利用時にも簡単なパラメータ設定で利用が可能になります。
DSVAを利用することにより、仮想デスクトップ導入のメリットを損なうことなく、必要に応じてVMware NSX分散ファイアウォールと連携したイベント検出時の自動隔離などの実現も可能となります。

以下に仮想デスクトップ環境におけるDSVAの優位性と当社のクライアント向けセキュリティ対策製品であるウイルスバスター™ コーポレートエディション(後継製品としてTrend Micro Apex One™が2019年7月にリリース)を利用した際の留意事項をご紹介します。

  • DSVA:Deep Security Virtual Appliance[エージェントレス型]
  • Corp.:ウイルスバスターコーポレートエディション

お客さまの仮想デスクトップ環境においてどうしてもウイルスバスターコーポレートエディションを導入しなければならない場合には、以下の制限事項を把握しておいていただく必要があります。
・ウイルス検索時に仮想マシンごとにリソースを消費し、ハードウェアリソースにも影響する
・仮想マシンのリフレッシュによってパターンファイルがマスターの状態に戻るため、仮想マシンの展開時に都度パターンアップデートが行われる
・新たに仮想マシンが払い出された場合、ウイルスバスターCorp.サーバは新たなクライアントとみなすため、ウイルスバスターコーポレートエディションの管理コンソールにクライアントのエントリが増加し
・使い捨てられた仮想マシンのエントリがいずれウイルスバスターCorp.の管理コンソールから削除された場合、当該クライアントのウイルス検知ログが閲覧できなくなる

また、上記に加えてウイルスバスターコーポレートエディションにおいてVDIオプションが利用可能なライセンスを選択し、利用するようにしてください。

  • VDIオプション:VDI環境でのウイルス対策を最適化するためのウイルスバスターコーポレートエディションのオプション機能

一方でDSVA環境においても、App Volumesを利用する場合には、エージェントレスとはいえどもイベントの検出を仮想デスクトップユーザに通知するポップアップツール(Trend Micro Notifier)が導入されていると正常に動作しないケースがあります。その場合には、App Volumesにて用意されているsnapvol.cfgファイルに対してTrend Micro Notifierの除外設定することで正常に動作させることができます。

上記のような
・実際に仮想デスクトップ環境でウイルスバスターコーポレートエディションを導入する際に考慮するべきポイント、設定しておくべきパラメータ
・VMware Horizon環境でApp Volumesを利用している場合のDSVA・Trend Micro Notifierに対する対応方法
については以下の資料にまとめておりますので、必ず参照の上、導入を検討してください。

  • ウイルスバスターコーポレートエディションの後継製品Trend Micro Apex Oneのリリースに伴い、資料をアップデートいたしました。

 

ダウンロード用資料はこちら

また、Deep SecurityとVMware NSXエージェントレス型セキュリティに関する詳細は以下のブログをご参照ください。

ブログ記事はこちら

いかがだったでしょうか?
今回ご紹介した以外にも様々な情報発信をしておりますので、定期的に本サイトを含めてのぞいてみていただければと思います。

<執筆>
トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
シニアソリューションアーキテクト
栃沢 直樹 (VMware vExpert)

お役立ちリンク集
Deep Security製品紹介
サポート
ヘルプ
製品ダウンロード

メールでのお問い合わせ
VMwareTech@trendmicro.com

Copyright © 2020 Trend Micro Incorporated. All rights reserved.