VMware NSX-T Data Center 2.5
環境におけるGuest Introspection及び
Deep Security Virtual Appliance(DSVA)
デプロイ仕様のアップデート

公開日
2020年05月15日

Trend Micro Deep Security Virtual Appliance(以下DSVA)をVMware NSX-T Data Center(以下NSX-T)2.5環境へデプロイする際に、NSX-T Guest Introspectionの仕様変更にあたり、DSVAソフトウェアパッケージを外部のHTTP Webサーバに配置をする必要がありました。
NSX-Tのアップデートに伴うワークアラウンドの公開とDeep Security Manager(DSM)の仕様追加によりDSVAソフトウェアパッケージをDSMに配置した状態でDSVAをNSX-T2.5環境へデプロイできるようになりました。
今回はその内容についてお伝えしたいと思います。

NSX-T 2.5 Guest Introspectionの仕様変更の概要(おさらい)

NSX-T 2.5からDSVAを含めたVMware NSX Guest Introspectionを利用する3rd Party Security VMをデプロイする際の仕様に変更があり、このNSX-Tの仕様変更によりDSVAパッケージの仕様変更、DSVAデプロイ手順についても変更がありました。
NSX-T Guest Introspectionの仕様変更には、Security VM(Trend MicroではDSVA)をデプロイする際のセキュリティ強化が含まれています。

  • Security VMのソフトウェアパッケージに対するVMware社のデジタル署名の付与、及びNSX Managerからデプロイを実行する際のデジタル署名のチェック
  • Security VMのソフトウェアパッケージをNSX Managerがダウンロードする際のポート番号の制限


それに伴い、トレンドマイクロではNSX-T 2.5以降の環境で利用するためのVMware社デジタル署名付きのDSVAソフトウェアパッケージ(DSVA12.0.0-682 : LTS Update 3)の提供を開始しています。
しかしながら実際のDSVA展開時には、デジタル署名のチェックプロセス及びダウンロード時のアクセス制御によるデジタル署名チェックエラーが発生しており、外部のHTTP Webサーバを別途準備して、DSVAソフトパッケージを配置する必要がありました。
詳細については、以下の記事を参照してください。

今回追加された機能追加

NSX-T2.5環境で外部HTTP Webサーバを用意しなくてもDSVAがデプロイできるためには、NSX-T、Deep Security双方で対応したバージョンを利用する必要があります。

・NSX-T Guest Introspection

NSX-T 2.5.1では、Security VMのデプロイ(NSX Managerではサービス展開:Service Deployment)する際にデジタル署名に関連する各種エラーを回避するため、デプロイ実施前にNSX Manager上でiptablesの追加によるダウンロード先ポート番号の解放を実施することができる仕様が追加されています。
VMware社KB:KB76707

root@NSXT-MGR03:/var/log/proton# iptables -A OUTPUT -p tcp --dport 4119 -j ACCEPT
root@NSXT-MGR03:/var/log/proton# iptables -nL | grep 4119
ACCEPT tcp -- 0.0.0.0/0 10.3.225.184 tcp dpt:4119 flags:0x17/0x02 owner UID match 154
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4119

root@NSXT-MGR03:/var/log/proton# sudo -u uproton curl -k -I https://10.3.225.184:4119/appliance/NSX/dsva.ovf
HTTP/1.1 200
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1;mode=block
Cache-Control: public,max-age=604800
Pragma: no-cache
Expires: Fri, 08 May 2020 06:41:04 GMT
Last-Modified: Fri, 08 May 2020 06:41:04 GMT
Date: Fri, 08 May 2020 06:41:04 GMT
Content-Type: application/octet-stream
Content-Length: 9337

root@NSXT-MGR03:/var/log/proton#

1.NSX ManagerにCLIでログイン(root)して、/var/log/protonへ移動
2.DSMからDSVAソフトウェアパッケージをダウンロードするためのTCP4119を許可
iptables -A OUTPUT -p tcp --dport 4119 -j ACCEPT
3.Iptablesに送信先ポートとしてTCP4119が追加されていることを確認
iptables -nL | grep 4119
4.DSMのDSVAソフトウェアパッケージURLにアクセスできるかを確認
sudo -u uproton curl -k -I https://[DSM_URL_or_IP]:4119/appliance/NSX/dsva.ovf
※“dsva.ovf”の部分は展開するリソースに応じて選択

 

OVF Files vCPU Memory
dsva.ovf 2 4096MB
dsva-small.ovf 2 8192MB
dsva-medium.ovf 4 16384MB
dsva-large.ovf 6 24576MB

・Deep Security

DSM 12.0 Update 8 において、NSX ManagerがDSVAソフトウェアパッケージをダウンロードする際に必要となるファイルのダウンロードが可能となる仕様が追加されています。
Deep Security Manager release notes - Deep Security Manager 12.0 update 8
Deep Security Manager did not allow NSX-T to download the required files that NSX-T needs to check if the partner OVF is signed by VMware. As a result, the DSVA OVF could not be properly deployed.
(DSSEG-5195)

DSVA展開時のポイント

DSVAをデプロイする際にはNSX Managerが4つのDSVAソフトウェアパッケージのどれを利用するかを認識する必要があります。
DSMからvCenter Server、NSX Managerを登録した際にデフォルトでNSX Managerに通知されるDSVA OVFのURLはdsva.ovf(vCPU 2 / Memory 4G)です。
それ以外のリソースサイズを選択したい場合には、DSM側でダウンロードさせたいOVF URLを指定する必要があります。

(1)“コンピュータ”から連携したvCenter Serverを選択して右クリック
(2)“NSX設定タブ”から上記のチェックボックスを選択して、DSM上のDSVA OVFのURLパスを指定
https://[DSM_URL_or_IP]:4119/appliance/NSX/[dsva-xxxxx].ovf
※上記キャプチャはdsva-large.ovfを選択

そのあと、前述の通りNSX Manager側でiptablesの追加を行った上で、NSX ManagerからDSVAのデプロイを行います。

【システム > サービス展開 > 展開 > DEPLOY SERVICE > 展開の仕様】

“展開の仕様”でinformation(iのマーク)をクリックすると、以下のようにOVF URLが表示されますので、DSMで設定したURLパスが反映されていることを確認してからデプロイを開始してください。
※NSX-T 2.5.1/Deep Security 12.0 U8時点では、“展開の仕様”の選択タブは“Deep Security - Medium”に固定されており、選択タブによってOVF URLパスを選択することはできません。

NSX ManagerでDSVAのデプロイが完了したことを確認出来たら、DSMからも指定されたリソースでDSVAがデプロイされているかを確認してください。

まとめ

NSX-T 2.5以降、DSVAのデプロイにあたっては外部HTTP Webサーバを用意するといった事前準備が多くなってしまっていましたが、その部分が以下のバージョンを利用することでデプロイしやすくなったことをお伝えしてきました。

  • NSX-T 2.5.1
    → Security VMのデプロイ前にソフトウェアパッケージダウンロードに必要なポートの解放(TCP4119)
  • Deep Security 12.0 Update 8以降
    → Security VMのデプロイ前に展開したいDSVAのリソースを選択してDSM側で明示的に指定


今後、さらなる改善を予定していますので、確認でき次第、またお知らせしたいと思います。

トレンドマイクロ株式会社
エンタープライズSE本部
セールスエンジニアリング部 ネットワークセキュリティチーム
シニアソリューションアーキテクト / VMware vExpert
栃沢 直樹 (Tochizawa Naoki)

お役立ちリンク集
Deep Security製品紹介
サポート
ヘルプ
製品ダウンロード

メールでのお問い合わせ
VMwareTech@trendmicro.com

Copyright © 2021 Trend Micro Incorporated. All rights reserved.