Symantec Endpoint Protection 12 (SEP 12)
Version 1.0
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
2 / 22
目次
1. 仮想化環境のセキュリティ対策について ... 3
2. 共有インサイトキャッシュ(Shared Insight Cache) ... 4
2.1. 共有インサイトキャッシュ(Shared Insight Cache)の仕組み ... 4
2.2. 必要なコンポーネント ... 5
2.3. 共有インサイトキャッシュサーバー(Shared Insight Cache Server) の構築 ... 6
2.4. 共有インサイトキャッシュサーバー(Shared Insight Cache Server)との通信の設定 ... 10
2.5. (参考)共有インサイトキャッシュ稼働環境の完全スキャン実測値 ... 11
3. 仮想イメージ例外(Virtual Image Exception)について ... 13
3.1. 仮想イメージ例外(Virtual Image Exception)の仕組み ... 13
3.2. 必要なコンポーネント ... 14
3.3. 仮想イメージ例外 (Virtual Image Exception)の設定 ... 15
3.4. (参考)仮想イメージ例外を使用した場合の完全スキャン実測値 ... 17
4. 仮想化環境に最適な設定 ... 18
4.1. Symantec Endpoint Protection Manager からウイルス定義ファイルをダウンロードする場合 ... 18
4.2. 直接 LiveUpdate サーバーからウイルス定義ファイルをダウンロードする場合... 19
4.3. スケジュールスキャンの設定 ... 20
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
3 / 22
1. 仮想化環境のセキュリティ対策について
Symantec Endpoint Protection クライアントは、ウイルスやワーム、トロイの木馬、スパイウェアなどのマルウェアからの保護機能を提供 します。例えば、個々の仮想化環境にウイルス対策ソフトをインストールし、ウイルススキャンを実行した場合、共有リソースに対する負 荷が高まり、結果的に予期せぬ形で仮想化環境を使用する個々ユーザーの業務に支障来たす事態が発生してしまうことがあります。 Symantec Endpoint Protection 12 では、仮想化環境におけるウイルスやセキュリティリスクの脅威からの保護レベルはそのままで、仮 想化環境に対する負荷を軽減する以下の技術を新たに搭載しています。これらの機能は、標準機能として提供しています。
共有インサイトキャッシュ(Shared Insight Cache)
Symantec Endpoint Protection Manager とは別に、共有インサイトキャッシュとして稼働するサーバーを構築します。 各仮想化環境で実行された Symantec Endpoint Protection クライアントによるウイルススキャンの実行結果の安全なファイル の情報を共有インサイトキャッシュサーバーのメモリ上に共有します。その後で他のクライアントが同じファイルへのウイルス スキャンを試みる際、共有インサイトキャッシュサーバーにそのファイルが安全であるかどうかの情報を照会します。ファイル が安全であると分かった場合、ウイルススキャンを実行しません。安全なファイルであるという情報がない場合、ウイルススキ ャンを実行し、安全なファイルであると判明した場合、その結果を共有インサイトキャッシュサーバーに提出します。このように ウイルススキャンの実行結果を共有することで、各仮想化環境でのウイルススキャンの実行対象を減らし、ウイルススキャン の実行によるシステム負荷を実現します。
仮想イメージ例外(Virtual Image Exception)
マスターイメージとなる仮想化環境上で、vietool.exe という仮想イメージ例外ツールを実行することで、このマスターイメージ内 に存在するファイルをホワイトリスト化することが出来ます。ホワイトリスト化されたファイルは、ウイルスキャンやリアルタイム のウイルス検知機能である Auto-Protect の対象から除外することが出来ます。ウイルスキャンもしくは Auto-Protect の対象と なるのは、ホワイトリストにはない新たに追加されたファイル変更されたファイルとなり、ディスク I/O やシステムリソースの負 荷を軽減することが出来ます。このようにホワイトリストを保持した仮想化環境を複数コピーもしくは、クローニングした場合で も、同様にこれらの仮想化環境はホワイトリストを保持し、ウイルススキャンや Auto-Protect の対象から除外されています。 これらの技術により、Symantec Endpoint Protection のすべての機能を有効にした状態でシステム負荷の軽減を実現が可能です。各仮 想化環境において、物理環境と同様、以下の機能による保護機能は提供されます。 ウイルスとスパイウェア対策 ファイアウォール ネットワーク侵入防止(IPS) 振る舞い検知(SONAR) 電子メールのスキャン アプリケーションとデバイス制御 シマンテックインサイト
■ Symantec Endpoint Protection 12 の利点
完全なセキュリティ保護機能を提供 “AV Storm(アンチウイルスのスキャンによる高負荷状態)”の回避 管理の容易性 追加費用は不要 アンチウイ ルス、スパ イウェア Emailのス キャン ファイア ウォール ネットワーク 侵入防止 (IPS) アプリケー ション、デバ イス制御 振る舞い検 知(SONAR) シマンテック インサイト
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
4 / 22
2. 共有インサイトキャッシュ(Shared Insight Cache)
2.1. 共有インサイトキャッシュ(Shared Insight Cache)の仕組み
仮想化された環境で稼働する Symantec Endpoint Protection クライアントがウイルススキャンを行い、安全なファイルの情報を共有イン サイトキャッシュサーバーで保持します。他の Symantec Endpoint Protection クライアントが、ファイルのスキャンを試みる際、そのファイ ルの情報が共有インサイトキャッシュサーバーにあるかどうか照会を行います。ファイルの情報が存在し、ファイルが安全だと分かった 場合、ウイルススキャンの実行を行いません。このように安全なファイルの情報を共有し、ウイルススキャンを実行する対象のファイル を減らすことにより、Symantec Endpoint Protection クライアントのウイルスススキャンを効率化します。
仮想ソフトウェア(VMware 、 Hyper-V など) 仮想OS 仮想OS ハッシュ値 定義ファイル スキ ャン結果 AE32D… 2011.1... 安全 B923E… 2011.1… 安全 F9123… 2011.1… 安全 C3FDA… 2010.2… 安全 共有インサイトキャッシュサーバー (Shared Insight Cache Server)
仮想OS 仮想OS 仮想OS Symantec Endpoint Protection Manager 仮想OS 2. 共有インサイトキャッシュ (Shared Insight Cache)を有 効化。 3. 仮想OSのスキャン結果を 共有インサイトキャッシュ サーバーに蓄積。 4. 他の仮想OSでスキャン実 行時、共有インサイトキャッ シュサーバーに問い合わせ。 1. 共有インサイトキャッシュ サーバーを構築。 5. 共有インサイトキャッシュサー バーで保持する情報により、ファ イルが安全であると確認出来た 場合、スキャンの実行を省略。
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
5 / 22
2.2. 必要なコンポーネント
ウイルススキャン結果を蓄積し、共有するための共有インサイトキャッシュサーバーが必要です。 .NET Framework 4.0 がインストールさ れた Windows Server 2003 もしくは 2008 に共有インサイトキャッシュのプログラムをインストールすることが出来ます。仮想化ソフトウェアで稼働する各仮想化環境には、Symantec Endpoint Protection クライアントをインストールします。
注意点: 共有インサイトキャッシュサーバーは、物理サーバー上もしくは仮想 OS 上で構築可能です。 共有インサイトキャッシュサーバーは、ウイルススキャン対象の仮想 OS と同一 LAN 上での構築を推奨致します。 スキャン済みのファイルの情報は、共有インサイトキャッシュサーバーのメモリ上に保持されます。共有インサイトキャッシュサ ーバーを再起動すると、情報は消去されます。 共有インサイトキャッシュサーバーのシステム要件: Windows Server 2003/2008, 32/64 bit .NET Framework 4 メモリ必要最低要件 2GB 2GB 100 台以下の SEP クライアントをサポート可能 4GB 100 ~ 1,000 台の SEP クライアントをサポート可能 8GB 1,000 台以上の SEP クライアントをサポート可能 100 台以上の SEP クライアントの場合、2 CPU のサーバーを推奨 1 台の共有インサイトキャッシュサーバーで、1,500 台の同時接続が可能 ウイルススキャンのランダム化を設定することにより、1,500 台~24,000 台まで SEP クライアントをサポート可能 共有インサイトキャッシュサーバー稼働環境例: 例 1:ウイルススキャンのランダム化を 6 時間に設定することで、1 台の共有インサイトキャッシュサーバーで 9,000 台の SEP クライアントをサポート可能 例 2:ウイルススキャンのランダム化を 12 時間に設定することで、1 台の共有インサイトキャッシュサーバーで 18,000 台の SEP クライアントをサポート可能 例 3:ウイルススキャンのランダム化を 16 時間に設定することで、1 台の共有インサイトキャッシュサーバーで 24,000 台の SEP クライアントをサポート可能
Symantec Endpoint
Protection Manager
共有インサイトキャッシュサーバー
(Shared Insight Cache サーバー)
仮想化環境
各仮想化環境には、
Symantec Endpoint
Protection クライアントを
インストールします。
システム要件:
Windows Server 2003 / 2008
.NET Framework 4
メモリ最低2GB
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
6 / 22
2.3. 共有インサイトキャッシュサーバー(Shared Insight Cache Server) の構築
共有インサイトキャッシュサーバーを構築するためにサーバーに .NET Framework 4.0 がインストールされている必要があります。
①.
Symantec Endpoint Protection 12.1 のメディア内の [Tools] → [SharedInsightCache] フォルダに、共有インサイトキャッシュ (Shared Insight Cache)インストールファイルがあります。 共有インサイトキャッシュのインストールファイル: Tools¥SharedInsightCache ¥SharedInsightCacheInstallation.msi 日本語化されたマニュアルも同じ場所にあります。②.
SharedInsightCacheInstallation.msi をダブルクリックします。 1 2 1 2Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
7 / 22
③.
共有インサイトキャッシュのセットアップウィザードが立ち上がります。[Next] をクリックします。
④.
使用許諾契約を一読頂き、[I accept the terms in the License Agreement ] を選択し、 [next] をクリックします。⑤.
インストール先のフォルダを指定する画面が表示されます。 [Change…] をクリックすると、インストール先のフォルダを変 更することが出来ます。デフォルトのままでよい場合、[Next] をクリックします。 4 5 3 5 3 4Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
8 / 22
④.
共有インサイトキャッシュの設定画面が表示されます。共有インサイトキャッシュで以下の値の設定を行います。 Cache Usage (% Physical Memory):
物理メモリのうち何%をスキャン結果のキャッシュ可能 な大きさを指定します。
デフォルトでは、物理メモリの 50%をキャッシュに使用 します。
Listening Port:
Symantec Endpoint Protection クライアントからのスキ ャン結果の情報を待ち受けるポートの番号を指定しま す。
デフォルトでは、9005 番ポートが設定されています。 Status Listening Port:
ステータス情報を待ち受けるポートの番号を指定しま す。 デフォルトでは、9006 番ポートが設定されています。
⑤.
設定を確認後、[Next] をクリックします。⑥.
インストールの準備が完了しました。[Install] をクリックして、 インストールを開始します。 7 8 6 6 7Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
9 / 22
①.
インストールが正常に完了後、[Finish] をクリックします。インストールが完了すると、Shared Insight Cache サービスが 開始されているのを確認することが出来ます。 [スタート] ボタンをクリックし、 [すべてのプログラム] → [管理 ツール] → [サービス] を選択すると、サービスの一覧を表示 することが出来ます。 9 10 11 11 9 10
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
10 / 22
2.4. 共有インサイトキャッシュサーバー(Shared Insight Cache Server)との通信の設定
共有インサイトキャッシュ(Shared Insight Cache)との通信を有効 にする共有インサイトキャッシュの機能を使用するには、 [ウイルス対策とスパイウェアの対策ポリシー] を編集する必要が あります。Symantec Endpoint Protection Manger の管理コンソー ルを立ち上げ、ポリシーの編集を行います。
④.
Symantec Endpoint Protection Manager の管理コンソールを 立ち上げ、左側のメニューより、 [クライアント] をクリックしま す。ツリー構造で表示されたクライアントグループの中で、共 有インサイトキャッシュを使用したいクライアントグループをク リックして選択します。クライアントグループを選択後、右側 の画面で [ポリシー] タブをクリックします。⑤.
複数あるポリシーの中で、[ウイルスとスパイウェアの対策ポ リシー] の右にある [タスク] をクリックします。[ポリシーの編 集] ダイアログが表示されますので、 [共有の編集] をクリッ クします。⑥.
[ウイルスとスパイウェアの対策] ポリシーの設定編集画面が 表示されます。左側のメニューより、 [グローバルスキャンオ プション] を選択します。 [共有インサイトキャッシュを有効に する] に✔を入れ、 [ホスト名] に共有インサイトキャッシュサ ーバーのホスト名もしくは、IP アドレスを入力し [OK] をクリッ クします。 1 1 2 2 3 3Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
11 / 22
2.5. (参考)共有インサイトキャッシュ稼働環境の完全スキャン実測値
検証環境: 仮想サーバー: 4 CPU x 2.53 GHz メモリ 6GB VMware ESXi 4.0仮想化環境: Windows 7 Enterprise Edition 64 bit(HDD 43GB、メモリ 1GB)を 5 台稼働 共有インサイトキャッシュサーバー: Windows Server 2008 メモリ 2GB 検証手順: ・共有インサイトキャッシュを無効にした状態で、各仮想 OS でウイルスの完全ウイルススキャンを実行し、完了までにかかった時 間とウイルススキャンをスキップしたファイルの数を計測。 ・共有インサイトキャッシュを有効にした状態で、各仮想 OS でウイルスの完全ウイルススキャンを 3 回実行し、完了までにかかっ た時間とウイルススキャンをスキップしたファイルの数を計測。 検証結果: ・共有インサイトキャッシュを無効にした状態で、完全ウイルススキャンを実行完了までに要した時間は約 50 分。 ・共有インサイトキャッシュを有効にした状態で、完全ウイルススキャンを複数回実行したところ、ウイルススキャン完了までに要す る時間の短縮が確認され、無効時と比較して 5 分の 1 までスキャン時間は短縮。 ・ウイルススキャンをスキップしたファイルの数「信頼できるファイル」の数も、ウイルススキャン実行の回数に比例して増加。
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
12 / 22
完全ウイルススキャン完了時の「信頼できるファイル」の数 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 80,000 ウイルススキャンをスキッ プしたファイルの数 (信頼できるファイルの数) ウイルススキャンの回数と信頼できるファイルの数の推移 仮想OS 01 仮想OS 02 仮想OS 03 仮想OS 04 仮想OS 05Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
13 / 22
3. 仮想イメージ例外(Virtual Image Exception)について
3.1. 仮想イメージ例外(Virtual Image Exception)の仕組み
仮想化された環境で稼働する OS のベースイメージ上で、仮想イメージ例外ツール(vietool.exe)を実行することにより、ベースイメ ージ上のファイルはスケジュールスキャンもしくは Auto-Protect の対象から除外することが出来ます。実際にウイルススキャンが実 行される対象は、仮想イメージ例外ツール実行後に増えた、もしくは変更されたファイルのみとなります。このことにより、ベースイメ ージをクローニングして作成した OS イメージに対しては、最小限のファイルのウイルススキャンの実行でセキュリティ上の安全が確 保することが可能となり、スキャンパフォーマンスの向上とスキャン時間の短縮を実現することが出来ます。
仮想ソフトウェア(VMware 、 Hyper-V など)
ベースの 仮想OS仮想OS
仮想OS
仮想OS
仮想OS
Symantec Endpoint
Protection Manager
仮想OS
6. Symantec Endpoint
Protection Managerで仮想
イメージ例外を有効化。
7. クローニングされた仮想
OS上では、ホワイトリスト化
されたファイルのスキャン
はスキップされ、スキャンに
かかる時間は短縮されます。
vietool.exe
ホワイト リスト1. ベースの仮想OSでウイルス
キャンを実施し、ウイルスに
感染していないことを確認。
2. ベースの仮想OSの検疫
フォルダが空であることを確
認。
3. ベースの仮想OSでvietoool.exeを
実行し、ホワイトリスト化。
クローニング5. ベースの仮想OSをクローニング。
4. ベースの仮想OSから、vietool.exe
を削除。
ホワイトリスト
化されたファイ
ルのウイルス
スキャンをス
キップ
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
14 / 22
3.2. 必要なコンポーネント
vietool.exe という仮想イメージ例外を実行するためのツールが必要です。 注意点: ベースとなる仮想イメージで完全スキャンを実行し、ウイルスに感染していないことを確認して下さい。 Symantec Endpoint Protection クライアントの検疫フォルダが空であることを確認して下さい。コマンドプロンプトより、vietool.exe を実行後、ベースとなる仮想イメージから、vietool.exe を削除して下さい。
Hypervisor(ハイパーバイザー)
VIEツール 仮想マシン 仮想マシン 仮想マシン 仮想マシン Symantec Endpoint Protection Manager ベースとなる仮想マシン上でVIE ツールを実行。Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
15 / 22
3.3. 仮想イメージ例外 (Virtual Image Exception)の設定
仮想化環境で仮想イメージ例外のコマンドを実行する前に以下の ことを確認して下さい。 完全スキャンを実行し、ウイルスに感染していないことを 確認して下さい。 ウイルスが見つかった場合、ファイルを検疫後、検疫され たファイルを検疫フォルダから削除して下さい。 ※ 検疫フォルダが空でない場合、仮想イメージ例外ツールを 実行することが出来ません。
⑥.
Symantec Endpoint Protection 12.1 のメディア内の [Tools] → [VirtualImageException] フォルダに、仮想イメージ例外 (Virtual Image Exception)のツールがあります。 仮想イメージ例外ツールの場所: Tools¥VirtualImageException¥vietool.exe⑦.
仮想イメージ例外ツール [vietool.exe] を仮想環境の任意の 場所にコピーします。右の例では、C:¥Temp フォルダにコピ ーしています。 1 2 1 2Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
16 / 22
⑦.
管理者権限でコマンドプロンプトを立ち上げ、vietool.exe をコ ピーした場所に移動します。Vietool.exe が存在するフォルダ に移動後、コマンドプロンプトで以下のコマンドを実行しま す。 vietool.exe C: --generate 構文:vietool.exe [対象ボリューム]: --[オプション]⑧.
vietool.exe コマンドを実行することにより、指定したドライブ 内のファイルは、ウイルススキャンの対象もしくは Auto-Protect による検知の対象から除外することが可能となりま す。⑨.
vietool.exe コマンドの実行が終了したら、vietool.exe コマン ドを削除しておきます。⑩.
Symantec Endpoint Protection Manager の管理コンソールを 立ち上げ、[ウイルスとスパイウェアの対策] ポリシーを開き ます。左のメニューより、 [その他] をクリックし、 [仮想イメー ジ] タブをクリックすると、 [仮想イメージ例外] の設定画面が 表示されます。 Auto-Protect の仮想イメージ例外を有効にする 管理者定義スキャンの仮想イメージ例外を有効にする 3 4 5 6 6Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
17 / 22
3.4. (参考)仮想イメージ例外を使用した場合の完全スキャン実測値
検証環境:
仮想化環境:Windows 7 Enterprise Edition 64 bit (HDD 43GB、メモリ 1GB) 検証手順: ・仮想イメージ例外を使用しない状態で、完全スキャンを実施。 ・仮想イメージ例外を使用した状態で、完全スキャンを実施。 完全スキャン完了時の「信頼できるファイル」の数 00:00 10:00 20:00 30:00 40:00 50:00 00:00 mm:ss (分:秒) 仮想イ メージ例外を使用した場合の完全スキャン時間の比較 仮想イメージ例外を無効 仮想イメージ例外を有効
Symantec Endpoint Protection 12
仮想化環境のセキュリティ対策の実装
18 / 22
4. 仮想化環境に最適な設定
複数の仮想化環境が稼働する環境では、ウイルス定義ファイルのダウンロードやウイルススキャンの同時実行による、サーバーリ ソースへの負荷が課題となります。以下にご説明します設定により、仮想化環境に最適な設定を行って頂くようお願い致します。4.1
. Symantec Endpoint Protection Manager からウイルス定義ファイルをダウンロードする場合
⑪.
[クライアント] 画面を表示し、クライアントツリーで対象のクラ イアントグループを選択します。右側の画面で [ポリシー] タ ブをクリックします。 [通信の設定] をクリックします。⑫.
[通信設定] ダイアログボックスが表示されます。仮想環境に 最適な設定として、以下のように設定することを推奨致しま す。Symantec Endpoint Manager と Symantec Endpoint Protection クライアント間の通信モード
推奨設定:プルモード
Symantec Endpoint Protection クライアントは、ハート ビート設定の頻度に基づいて、Symantec Endpoint Protection Manager に定期的に接続します。プッシュ モードに設定した場合、常時 HTTP 接続となってしま うため、広いネットワーク帯域幅が必要となります。 ダウンロードランダム化 推奨設定:ハートビート間隔より長い時間を指定 Symantec Endpoint Protection Manager と Symantec Endpoint Protection クライアントは、ハートビート間 隔で通信を行います。Symantec Endpoint Protection Manager に新たなコンテンツがある場合、 [ランダム 化ウィンドウ] で設定した時間範囲内のランダムの時 間帯で Symantec Endpoint Protection クライアント は、コンテンツのダウンロードを実行します。
1
2
1
