VMware NSX-T Data Center 2.5
環境におけるTrend Micro Deep Security Virtual Appliance(DSVA)
デプロイに関する留意事項

公開日
2019年12月10日

VMware NSX-T Data Center(以下NSX-T)2.5からTrend Micro Deep Security Virtual Appliance(以下DSVA)を含めたVMware NSX Guest Introspectionを利用する3rd Party Security VMをデプロイする際の仕様に変更がありました。このNSX-T 2.5におけるGuest Introspection関連の仕様変更によりDSVAパッケージの仕様変更、DSVAデプロイ手順についても変更があります。

■NSX-T 2.5 Guest Introspectionの仕様変更の概要

NSX-T 2.5におけるGuest Introspectionの仕様の変更により、DSVAなど3rd Party Security VMを各ホストへデプロイする際にNSX Managerがソフトウェアパッケージに対するデジタル署名のチェックを実行するプロセスが追加されています(ソフトウェアパッケージに含まれる.ovf及び.vmdkファイルにVMware社によるデジタル署名が付与されます)。この仕様変更に伴い、DSVAをNSX-T環境でデプロイする際に以下の影響が発生します。

・VMware社によってデジタル署名がされたソフトウェアパッケージのみがNSX-T環境にデプロイできる
・Deep Security Manager(以下DSM)DSMへDSVAソフトウェアパッケージをアップロード後、DSM上で事前にDSVAに割り当てるvCPU及びメモリの指定を実施することができない

VMware NSX for vSphere(以下NSX-V)及びNSX-T 2.4までの環境では、DSVAを各ホストへデプロイする際には、DSVAソフトウェアパッケージをDSMにアップロード後、OVFファイル内のvCPU及びメモリの値を変更することにより、DSVAの展開リソースを事前に指定した上でNSX ManagerからDSVAを展開することができました。

NSX-T 2.5以降の環境においては、デジタル署名がされていない従来のDSVAソフトウェアパッケージを利用してデプロイした場合、またはDSMにアップロード後またはソフトウェアパッケージを外部Webサーバにアップロード前にOVFファイルの修正を行った場合には、デジタル署名のチェックに失敗してデプロイをすることができません。

NSX ManagerでDSVAデプロイを行い、デジタル署名の検証失敗時のエラー

NSX-T2.4.1、2.4.2または2.4.3、NSX-V環境では、従来提供されているDSVAソフトウェアパッケージを利用してDSVAをデプロイすることは可能です。

■NSX-T2.5以降のDSVAの展開方法について

NSX-T2.5以降ではVMware社によりデジタル署名されたDSVAソフトウェアパッケージを利用してデプロイをする必要があります。
一方で従来DSVAのソフトウェアパッケージ内のOVFファイルはメジャーリリース毎に1つずつ提供されていましたが、今回のNSX-T Guest Introspectionに関する仕様変更に伴い、デプロイ前にDSVA OVFファイルの割り当てvCPU及びメモリを指定することができなくなりました。
上記の観点から、トレンドマイクロでは今後リリースするDSVAのソフトウェアパッケージでは以下の4種類のOVFが提供される方針に変更されます。

OVF Files vCPU Memory
dsva.ovf 2 4096MB
dsva-small.ovf 2 8192MB
dsva-middle.ovf 4 16384MB
dsva-large.ovf 6 24576MB

Deep Security 12.0では、DSVA 12.0 Update 3(Deep Security Appliance 12.0.0-682 for ESX-x86_64:2019年12月5日リリース)から上記4つのタイプのソフトウェアパッケージに対してVMware社のデジタル署名がされた形で提供されます。
(初期リリースのDSVA12.0.0-364はNSX-VまたはNSX-T2.4環境でのみ利用できます。)

上記の対応により、NSX ManagerにおいてDSVAをデプロイする際には、デプロイするソフトウェアパッケージを指定することが可能となります。なお、Deep Security 12.0 Update 4ではNSX Manager からDSVAをデプロイする際の“展開の仕様”は“Deep Security-Medium”以外の選択ができません。

【システム > サービス展開 > 展開 > DEPLOY SERVICE > 展開の仕様】

デプロイするDSVAのリソース指定はDSM側でNSX ManagerがアクセスするDSVAソフトウェアパッケージのダウンロード先を指定して、DSVAデプロイ時にOVFファイルをダウンロードできるように設定します。

【コンピュータ > [該当vCenterからプロパティ]> NSX設定 > Virtual Appliance OVFのURL:】

設定するURLは以下の形式で記載してください。
https://[DSM_ Hostname or IP]:4119/appliance/NSX/dsva.ovf(or dsva-small/medium/large.ovf)
※今後のDeep Security Managerの仕様の拡張に伴い指定方法が変わる可能性があります。

指定できるURLパスは1つのみのため、複数のソフトウェアパッケージを環境に応じて使い分ける場合には、デプロイごとに本設定のURLの書き換えを行う必要があります。
設定方法の詳細についてはヘルプセンターの内容も参考にしてください。

■NSX-T 2.5.0環境におけるGuest Introspection利用時の制約事項

NSX-T 2.5.0 Guest Introspectionではデジタル署名に関する実装に一部不備があり、従来の方法ではDSVAをデプロイすることはできません。
<対象バージョン>
VMware NSX-T 2.5.0

<発生事象と原因>
DSMなどの3rd Partyコンソールが自己署名証明書を提供する場合、VMware NSX-T 2.5の証明書チェックメカニズムにおいてSSL証明書に関する問題があり、DSVAなどのSecurity VMのデプロイに失敗することが確認されています。

<ワークアラウンド>
外部WebサーバをHTTPSではなくHTTPサーバとして構築を行い、DSVAソフトウェアパッケージを配置します。
DSMでは、NSX ManagerがアクセスするDSVAソフトウェアパッケージのダウンロード先を指定して、DSVAデプロイ時にOVFファイルをダウンロードできるように設定します。

【コンピュータ > [該当vCenterからプロパティ]> NSX設定 > Virtual Appliance OVFのURL:】

設定するURLは以下の形式で記載してください。
http://[Web Server URL]/[Directory]/ dsva.ovf(or dsva-small/medium/large.ovf)
また、NSX Managerにて正しくダウンロード先URLが認識されているかを以下の通り確認してください。

指定できるURLパスは1つのみのため、複数のソフトウェアパッケージを環境に応じて使い分ける場合には、デプロイごとに本設定のURLの書き換えを行う必要があります。

設定方法の詳細についてはヘルプセンターの内容も参考にしてください。

<恒久対策>
NSX-T 2.5.1で修正予定

※ NSX-T 2.5.1以降はDSMローカルのパッケージ格納ディレクトリをDSVAソフトウェアパッケージのダウンロード先と指定することが可能となります。
※ 本事象の修正後もデジタル署名のチェックは行われるため、DSVAデプロイ前にトレンドマイクロから提供されるDSVAソフトウェアパッケージの割り当てvCPU及びメモリのパラメータを変更することはできません。

本事象に関してはVMware社のKBをご参照ください。また、NSX-T 2.5.1のリリース時期を含めた詳細についてはVMware社にお問い合わせください。

トレンドマイクロとしては、NSX-T 2.5.0でのDSVAデプロイはできる限り避け、NSX-T 2.5.1以降の環境で、DSVA12.0 Update 3を利用してデプロイをいただくことを推奨します。
(VMware社の互換性ガイドにはNSX-T 2.5.0とDeep Security12.0が利用できる旨の記載がありますが、実際には上記制約がありますので、ご注意ください。)

<執筆>
トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 サーバセキュリティチーム
シニアソリューションアーキテクト
栃沢 直樹 (VMware vExpert)

お役立ちリンク集
Deep Security製品紹介
サポート
ヘルプ
製品ダウンロード

メールでのお問い合わせ
VMwareTech@trendmicro.com

Copyright © 2020 Trend Micro Incorporated. All rights reserved.