2017
年8月29日
株式会社カスペルスキー
コーポレートビジネス本部
仮想環境専用アンチウイルス製品
Kaspersky Security for Virtualization(KSV)4.0
Agentless ご紹介
目次
•
P3 仮想環境を取り巻くセキュリティ脅威の背景と運用課題
•
P9 Kaspersky Security for Virtualization(KSV)による課題解決
- KSV AgentlessとVMware NSX連携機能
- KSV Agentlessのセキュリティ機能とパフォーマンス性能
•
P28 KSVと競合他社製品の機能比較
•
P31 付録
- 競合他社製品価格比較
- プレミアサポート(MSA)のご案内
セキュリティ脅威の背景
拡散型ランサムウェア(WannaCryなど)
ランサムウェアとは、クライアントやサーバーデータを不正に暗号化を行い、
解除してほしい場合は金銭を要求する非常に悪質なコンピューターウイルス。
2017
年のランサムウェアは、
拡散型の仕組み
を持つことが特徴。
ランサムウェアは、
WannaCry
によって
一般社会にも広く
認知される存在に。
左の画面はWannaCry
感染時に表示される
脅迫文。
身代金支払いは、
ビットコインを利用。
セキュリティ脅威の背景
ランサムウェアの感染手法はばらまき型から拡散型へ
1
台感染すると・・・
•
ばらまき型
改ざんされたWEBサイト経由やメール経由での感染
•
拡散型
マルウェアが自動でネットワーク接続されている別端末に
自動的に感染
次から次へと拡散が
はじまり・・・
影響がシステム全体に波及!
仮想化セキュリティの運用課題
•
仮想環境へのアンチウイルス導入は、運用面を考慮する必要がある。
•
きちんとした設計をせずに、従来型アンチウイルス製品を導入すると、
以下のような運用課題に遭遇する。
WindowsとLinuxゲストOSの
統合管理
スケジュールスキャン時の
システム負荷問題
定義ファイル更新時の
ネットワーク負荷問題
ライセンス管理の問題
拡散型マルウェア対策
仮想環境へ従来型アンチウイルスを導入した場合
VDI
環境に従来の物理PCで利用していたセキュリティ対策製品を入れた場合、
以下の問題が発生。
ゲストOSが、同時にスキャンを
開始することで、ピーク時のリ
ソース 使用率が増大(特に
CPU、ディスクI/O)
同じタイミングで定義データ
ベース(パターンファイル)を
取得に行くため、ネットワーク
帯域を想定以上に消費
結果
仮想マシンの動作遅延、さらには最悪、システム停止につながる場合も…。
スキャンストーム
アップデートストーム
1 アップデートストームによる
過剰なネットワーク帯域消費
2 スキャンストームによる
CPU、メモリ、ディスク消費
⇒
パフォーマンスダウン
3 停止中VMの定義未更新
⇒
定義DBが古く、起動直後に
マルウェア感染リスクが高い
4 実装可能な VM 数の低下
同じ環境
それぞれのVMが全ての 定義データベース 更新プログラム スキャンエンジン をローカルに保持し、 そこで処理を実行同じ環境 同じ環境 同じ環境
同じ環境
管理サーバーで負荷を
考慮した設定が困難
問題点
VM:仮想マシン
瞬間的なホストの負荷増大など
非効率なリソース消費が課題
負荷アップ 負荷アップ 負荷アップ 負荷アップ 負荷アップスキャンストーム、アップデートストームの発生
Kaspersky Security for Virtualization(KSV)による課題解決
KSV AgentlessとVMware NSX連携機能
カスペルスキーの仮想環境向けアンチウイルス
Kaspersky Security for Virtualization(KSV)
•
KSV
は、お客様要件に応じて2種類の仮想向け製品から選択可能(ライセンスは共通)
1.
VMware NSX連携機能を持つエージェントレス型
- VMware NSX
と連携した拡散防止セキュリティの実装。
-
システムパフォーマンスを最大限まで活かすデータセンターやサービス事業者向け。
2.
仮想デスクトップ(VDI)環境に最適なライトエージェント型
-
未知の脅威対策に効果的な振る舞い検知など、高度なセキュリティ機能を網羅。
-
セキュリティ機能とパフォーマンスを両立し、仮想デスクトップ(VDI)にオススメ。
NSX連携によるセキュリティ強化と効率化
KSV 4.0 Agentlessでは、NSX連携にて以下のことが実現可能です。
NSX連携機能
•
拡散防止型セキュリティ(セキュリティタグ利用)
⁃ KSVによるウイルス検知時に、NSXにて対象VMを自動的にネットワークから隔離
⁃ 管理者による処置またはフルスキャン後、対象VMを自動的にネットワークに復帰
•
Secure VMの自動デプロイ
⁃ NSXポリシーによりSecure VM(ファイルアンチウイルス、ネットワーク攻撃防御)
を新規仮想化プラットフォームに自動でデプロイ
•
セキュリティ機能のオン/オフをポリシーで制御
⁃ NSXポリシーによりファイルアンチウイルス機能とネットワーク攻撃防御機能の
使用是非を各単位で制御(特定のVMやVMグループ)
KSVのセキュリティ機能
•
LinuxゲストOS保護対応
•
オンライン・オフラインスキャン
⁃ オフラインのVMをスキャン可能
Agentless
VMware NSXと連携するKSV Agentless
•
エージェントレス型の目玉はVMware NSX連携機能。
•
マルウェアを検知した仮想マシンをNSX連携機能により、
自動で仮想ネットワークから隔離が可能。
•
2017
年のマルウェアはWannaCryを代表するように拡散型機能を
標準的に持つよう進化しており、拡散防止型セキュリティが
再注目を集める。
×
本資料では、KSV Agentlessをご紹介します。
KSV 4.0 Agentless & VMware NSX アーキテクチャー
NSX マネージャー仮想VMの必要要件:
• VMware Tools ( カスタムインストール ) - NSX Introspection DriverPrerequisites for
VMware vSphere with NSX
Guest Introspection サービス
ハイパーバイザーインフラストラクチャの前提条件:
VMware vSphere と NSX
VMware Network FabricKSV 4.0 AgentlessはVMware NSXとの連携機能をサポート
•
マルウェア検知時のVM隔離の自動化(マイクロセグメンテーション)
•
仮想セキュリティアプライアンス(SVM、NAB)実装の自動化
各NSXライセンスで実現できるKSVセキュリティ機能
•
ファイルアンチウイルスは、NSX for vShield Endpointでも使用可能
•
自動隔離(マイクロセグメンテーションによる感染VMのネットワーク隔離)の実現には、
NSX Advanced / Enterpriseライセンスが必要
•
ネットワーク攻撃防御も同様に、NSX Advanced / Enterpriseライセンスが必要
NSXライセンスによって、利用できるKSV機能が異なります。
拡散防止型セキュリティの実現には、NSX Advanced / Enterpriseが必要です
利用できる
KSV機能
vShield Endpoint
NSX for
(無償ライセンス)
NSX Standard
NSX Advanced
NSX Enterprise
ファイルアンチウイルス
(自動隔離なし)
○
○
○
○
ファイルアンチウイルス
(自動隔離あり)
×
×
○
○
ネットワーク攻撃防御
×
×
○
○
•
保護VMでウイルスが検知された際に、セキュリティタグが付与される
•
付与されたセキュリティタグと連動して、隔離用NSXセキュリティポリシーが適用
(NSXセキュリティポリシーにはVMware分散FWの遮断ルールを事前定義する)
•
隔離用の分散FWルールが反映し、自動的にVMの隔離まで実施する
感染VMを自動でネットワーク隔離
セキュリティタグを利用した感染被害の拡大防止の流れ
マルウェア検知時の仮想マシン自動隔離
(マイクロセグメンテーション)
マルウェア検知時の仮想マシン自動隔離
(マイクロセグメンテーション)
•
管理サーバー(KSC)のポリシー設定から、各VMのセキュリティ機能
オン/オフ設定が容易に切り替え可能。
vCenter Serverから
情報取得
KSV保護対象VMを
ワンクリックで選択
(デフォルトでは
すべて保護対象)
無効
有効
KSV & VMware NSX:
保護機能のオン/オフ ポリシー制御
KSV & VMware NSX:Secure VM の自動デプロイ
•
NSXサービスのデプロイ設定により、Clusterへの新規ESXi追加時にSVM
とNABを自動的にデプロイ(オートメーション化)
•
オートメーション化により、VMの保護に必要なセキュリティ機能の展開・運用
工数を削減
Cluster
① ESXiを
Clusterに追加
NSX Manager
② Clusterに追加された
ESXiにSVMとNABを自動
Kaspersky Security for Virtualization(KSV)による課題解決
KSV Agentlessのセキュリティ機能とパフォーマンス性能
メリット
:
Security Virtual Machine ( SVM )
•
Linuxベースの仮想アプライアンス(サービスVM)
•
ファイルアンチウイルス機能を担当
•
各VMのスキャンオブジェクトを一括でスキャン
•
負荷が上昇するのは、SVMのみとなるため、
ホスト全体へのパフォーマンス影響が少ない
Network Attack Blocker ( NAB )
•
SVMと同様に仮想アプライアンスとして提供
•
ネットワーク攻撃防御機能を担当
•
各VMのプロトコルベースのネットワーク攻撃検知を実施
1. スキャンパフォーマンス最適化
SVMとNABによるスキャン処理の集中化
2. VMware NSXとの連携による
拡散防止型セキュリティ
マルウェア検知時に対象VMを自動的に
ネットワークから隔離
3. Windows、LinuxゲストOS対応
両OSでまったく同様の保護機能が
利用可能
4. オフラインVMデータのスキャン
KSV Agentlessによるセキュリティ保護の仕組み
•
KSV導入時に展開されるファイルアンチウイルス機能を提供する
仮想アプライアンス
•
保護対象全VMのスキャンを代理で一括実施
(スキャン時のVM負荷をSVMが肩代わり)
•
最新の定義データベース保持
•
共有キャッシュによるスキャン対象ファイルの重複排除
Security Virtual Machine (SVM)
- ファイルアンチウイルス用 仮想アプライアンス -
※ SVMによるファイルアンチウイルス機能は、無償ライセンスの
NSX for vShield Endpointでも利用可能です。
(有償のNSXライセンスは不要)
•
ファイルキャッシュとその判定結果をSVMに保持
•
一度スキャンしたオブジェクトをスキップすることで、
ファイルスキャンタスクの大幅な効率化が可能
(スキャンの高速化、リソース消費低減)
SVMの共有キャッシュ機能
SVMがスキャンファイルとその結果を保持することで、
ファイルスキャンの重複排除を実現。
•
KSV導入時に展開されるネットワーク攻撃防御機能(IPS)を
提供する仮想アプライアンス
•
パケットレベルでのネットワーク攻撃をブロック
•
WEBサイトのURL判定機能
•
通常のアンチウイルス製品では提供しないLinux OSに対する
ネットワーク攻撃にも対応
Network Attack Blocker(NAB)
- ネットワーク攻撃防御用 仮想アプライアンス -
※ NABによるネットワーク防御機能は、NSX Advanced以上の
ライセンスが必須です。
KSNは世界中のユーザーから収集された最新の脅威情報データベース。
カスペルスキー製品によって保護された仮想マシンは、この脅威情報データベースを
参照することで、ゼロデイ攻撃のような最新の脅威にも対応することが可能。
■Kaspersky Security Network(KSN)の仕組み
① カスペルスキーが導入されたコンピューターは不審な挙動を
見せる脅威に関する情報をリアルタイムでKSNに送信
② カスペルスキーのAutomatic Analysis Systemにて、
悪意のある脅威は即座に「緊急検知DB」に追加される
③ ユーザーコンピューターはリアルタイムでKSN上の
緊急検知DBやホワイトリスト情報を都度参照し、
最新の情報で端末を保護
④ KSNへ登録された脅威情報はカスペルスキーのアナリストが
クラウドプロテクション(レピュテーション)
Kaspersky Security Network(KSN)
powered-
ON
&
powered-
OFF
•
パワーオフ状態のVMに対するスキャン機能(NTFSとFAT32の場合)
マスターVMやスタンバイVMに対してもセキュリティ保護が可能に。
新機能:他社にはないオフライン
VMスキャン機能
•
管理サーバー(
KSC)は、vCenter ServerからVMステータスを取得
•
各仮想マシン(
VM)ごとに下記のステータス表示が可能
- 保護ステータス
- NSXセキュリティポリシー適用状態
- VM名、VMのパス、OSタイプ
- 定義データベースアップデート日時
- スキャン日時など
管理サーバー(KSC)のVMステータス表示
ハイパーバイザー
VDIアプリケーション
サーバー仮想化
デスクトップ仮想化
KSV Agentlessの対応仮想プラットフォーム
Agentless
LinuxゲストOSに対応
保護機能はWindowsと同様
KSV Agentlessと競合他社製品 Agentlessの比較
KSVの優位性
•
KSV Agentless
は、競合他社が備える機能を全て実装
•
他社製品は、ネットワーク攻撃防御利用に別費用で
追加オプションが必要
(KSVは標準搭載)
•
他社製品は、LinuxゲストOS未対応
•
他社製品は、オフラインVMスキャン機能なし
機能 Agentless KSV Agentless T社 ファイルアンチウイルス ○ ○ メールアンチウイルス × × ウェブアンチウイルス △(URL) △(URL) メッセンジャー アンチウイルス × × ファイアウォール × × クラウドレピュテーション ○ ○ ネットワーク攻撃防御 ○ (Virtual Patch) △追加オプション 振る舞い検知 (HIPS以外) × × 脆弱性攻撃ブロック × × アプリケーション 権限コントロール × × アプリケーション 起動コントロール × × デバイスコントロール × × ウェブコントロール × × オフラインVMスキャン ○ × Linux対応 ○ ×機能 Light Agent KSV Agentless KSV Agent/Combine T社 Agentless T社 M社
ファイルアンチウイルス ○ ○ ○ ○ ○
メールアンチウイルス ○ × × × ×
ウェブアンチウイルス ○ △(URL) △(URL) △(URL) ×
メッセンジャー
アンチウイルス ○ × × × ×
ファイアウォール ○ × × × ×
クラウドレピュテーション ○ ○ ○ ○ ×
ネットワーク攻撃防御 ○ ○ (Virtual Patch) △追加オプション (Virtual Patch) △追加オプション ×
振る舞い検知 (HIPS以外) ○ × ○ (挙動監視、 ロールバック機能な し) × × 脆弱性攻撃ブロック ○ × × × × アプリケーション 権限コントロール ○ × × × × アプリケーション 起動コントロール ○ × × × × デバイスコントロール ○ × × × × ウェブコントロール ○ × × × × オフラインVMスキャン × ○ × × ○
