Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード ) 2019 年 4 月 11 日第 1 版トレンドマイクロ株式会社テクニカルサポートグループ Deep Security 11.0 アップグレードガイ

(1)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 1 2019年4月11日第１版トレンドマイクロ株式会社テクニカルサポートグループ

Deep Security 11.0 アップグレードガイドブック

[DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード(DSVA 編) ]

(2)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 2 本ドキュメントに関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。トレンドマイクロ株式会社が事前に承諾している場合を除き、形態および手段を問わず本ドキュメントまたはその一部を複製することは禁じられています。本ドキュメントの作成にあたっては細心の注意を払っていますが、本ドキュメントの記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本ドキュメントおよびその記述内容は予告なしに変更される事があります。 TRENDMICRO、ウイルスバスター、ウイルスバスターOn-Line-Scan、PC-cillin、InterScan、INTERSCAN

VIRUSWALL、ISVW、InterScanWebManager、ISWM、InterScan Message Security Suite、InterScan Web Security Suite、IWSS、TRENDMICRO SERVERPROTECT、PortalProtect、Trend Micro Control Manager、Trend Micro MobileSecurity、VSAPI、トレンドマイクロ・プレミアム・サポート・プログラム、License for Enterprise Information Security、LEISec、Trend Park、Trend Labs、InterScan Gateway Security Appliance、Trend Micro Network VirusWall、Network VirusWall Enforcer、Trend Flex Security、LEAKPROOF、Trendプロテクト、Expert on Guard、 InterScan Messaging Security Appliance、InterScan Web Security Appliance、InterScan Messaging Hosted Security、DataDNA、Trend Micro Threat Management Solution、Trend Micro Threat Management Services、 Trend Micro Threat Management Agent、Trend Micro Threat Mitigator、Trend Micro Threat Discovery Appliance、Trend Micro USB Security、InterScan Web Security Virtual Appliance、InterScan Messaging Security Virtual Appliance、Trend Micro Reliable Security License、TRSL、Trend Micro Smart Protection Network、Smart Protection Network、SPN、SMARTSCAN、Trend Micro Kids Safety、Trend Micro Web Security 、Trend Micro IM Security、Trend Micro Email Encryption、Trend Micro Email Encryption Client、Trend Micro Email Encryption Gateway、Trend Micro Collaboration Security、Trend Micro Portable Security、Portable Security、Trend Micro Standard Web Security、トレンドマイクロアグレッシブスキャナー、Trend Micro Hosted Email Security、Hosted Email Security、Trend Micro Deep Security、ウイルスバスタークラウド、ウイルスバスターCLOUD、Smart Surfing、スマートスキャン、Trend Micro Instant Security、Trend Micro Enterprise Security for Gateways、Enterprise Security for Gateways、Trend Micro Email Security Platform、Trend Smart

Protection、Vulnerability Management Services、Trend Micro Vulnerability Management Services、Trend Micro PCI Scanning Service、Trend Micro Titanium、Trend Micro Titanium AntiVirus Plus、Smart Protection Server、 Deep Security、Worry Free Remote Manager、ウイルスバスタービジネスセキュリティサービス、HOUSECALL、 SafeSync、トレンドマイクロオンラインストレージSafeSync、Trend Micro InterScan WebManager SCC、Trend Micro NAS Security、Trend Micro Data Loss Prevention、TREND MICRO ENDPOINT ENCRYPTION、Securing Your Journey to the Cloud、Trend Micro オンラインスキャン、Trend Micro Deep Security Anti Virus for VDI、 Trend Micro Deep Security PCI DSS、Trend Micro Deep Security Virtual Patch、Trend Micro Threat Discovery Software Appliance、SECURECLOUD、Trend Micro VDIオプション、おまかせ不正請求クリーンナップサービス、 Trend Micro Deep Security あんしんパック、こどもーど、Deep Discovery、およびTCSEは、トレンドマイクロ株式会社の登録商標です。

(3)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 3 目次はじめに ... 4 本ドキュメントについて ... 4 用語について ... 4 アップグレードとは ... 4 End of Support とは ... 4 1. 事前確認 ... 5 1.1 システム要件の確認... 5 1.2 アップグレード前のバックアップ取得について ... 5 1.3 アップグレード時に発生する可能性のある既知の事象 ... 6 1.3.1 SQL Server Express 利用時のアップグレード後の表示について... 6 1.3.2 Oracle XE 利用時のアップグレード後の表示について ... 7 1.3.3 vShield Manager 使用時の注意 ... 7 2. DSVA9.0/9.5/9.6/10.0 から DSVA11.0 へのアップグレードパス ... 8 2.1 VMware 環境のアップグレードパス ... 8 2.2 DS11.0 へのアップグレードパス ... 10 3.1 既存環境のアップグレード(DS9.0 から DS9.6 へのアップグレード) ... 12 3.2 DSVA の無効化、削除 ... 22 3.3 Filter Driver の削除 ... 24

3.4 vCenter Server、vShield Manager の登録解除 ... 26

3.5 DSM のアップグレード ... 27 3.6 NSX Manager の展開、設定 ... 31 3.7 管理コンソールへ vCenterServer の登録 ... 34 3.8 コンポーネントのインポート ... 37 3.9 DSR のアップグレード... 37 3.10 Guest Introspection の展開 ... 40 3.11 DSVA の展開 ... 48 3.12 セキュリティグループ、セキュリティポリシーの設定 ... 55 3.13 仮想マシンの有効化 ... 63 3.14 DS11.0 へのアップグレード完了 ... 64 補足：アップグレード関連の FAQ ... 65 更新履歴 ... 66

(4)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード)

4

はじめに

本ドキュメントについて

本ドキュメントは、Deep Security Virtual Appliance環境にて、Trend Micro Deep Security 9.0、9.5、9.6、10.0から最新バージョン(11.0) へのアップグレード時の注意事項、トレンドマイクロが推奨する手順、および関連情報を取りまとめたものです。

Deep Security Agent利用環境のアップグレード手順につきましては、以下のリンクより、「Deep Security 11.0 アップグレードガイドブック[DS9.0/9.5/9.6/10.0からDS11.0へのアップグレード(DSM、DSA編)]」をご確認ください。 ▼Deep Security11.0 アップグレードガイドブック[DS9.0/9.5/9.6/10.0からDS11.0へのアップグレード(DSM、DSA編)]

http://files.trendmicro.com/jp/ucmodule/tmds/doc/ds11_upgradeguide_dsa.pdf

用語について

本ドキュメントでは、下記の略称を使用します。「Trend Micro Deep Security」→「DS」

「Deep Security Manager」→「DSM」「Deep Security Agent」→「DSA」「Deep Security Relay」→「DSR」

「Deep Security Virtual Appliance」→「DSVA」アップグレードとは

機能や性能の向上、または改善を図るために、使用している製品を新しいバージョンへ更新（アップグレード）することを指します。DSの新バージョンでは、日々の新しい脅威へ対抗するために様々な新機能を提供しています。また、お客様からいただいた製品に関する要望を実装しています。

End of Support とは

End of Support (以下、EOS)とは、製品サポートサービスの終了を指します。サポートサービス終了後は、 Service PackやHotFixなど、製品の問題を解決するモジュールの開発が終了となります。加えて、ウイルスパターンファイルなどのアップデートサービスも停止する事があり、セキュリティのリスクが高まる恐れがあります。そのため、新しい脅威に対応するため、最新版へのアップグレードの計画および実施を呼び掛けています。 DSのEOSの日付は、以下のページをご確認ください。 ▼製品・検索エンジンのサポート終了案内 http://esupport.trendmicro.com/ja-jp/support-lifecycle/end-of-support/default.aspx

(5)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 5

1. 事前確認

1.1 システム要件の確認 DS11.0へアップグレードする前に、お使いの環境がDS11.0のシステム要件、およびVMware製品との互換性を満たしているか確認します。それぞれの情報については以下のページをご確認ください。 ▼DS11.0のシステム要件 https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/deep-security-data-center.html?modal=pdf02-9d4d73 ※システム要件を満たしていないコンピュータでの動作検証は行っていない為、サポート対象外となります。 ▼Deep Security and VMware compatibility matrix

https://success.trendmicro.com/solution/1060499-deep-security-and-vmware-compatibility-matrix#collapseAcc8

※VMware社様製品の互換性は以下VMware Compatibility Guideをご確認ください。

▼VMware Compatibility Guide

https://www.vmware.com/resources/compatibility/search.php ※2018年8月現在のURLとなります。 1.2 アップグレード前のバックアップ取得についてアップグレードに伴いトラブルが発生した場合に備え、作業前にDSのデータベース情報をバックアップしておくことを推奨いたします。バックアップ、およびリストア手順につきましては、以下のFAQの内容をご確認ください。 ▼[HowTo] バックアップまたはリストアする方法 http://esupport.trendmicro.com/solution/ja-JP/1310064.aspx ※DS9.6以降では、リストア時にDSM の「dsm.properties」内の「manager.managerNodeGUID」の値を、旧サーバの「dsm.properties」内の設定と揃えることが必要となります。よって、バックアップの際には、「dsm.properties」のバックアップも合わせて実施いただきますようお願いします。 ※「dsm.properties」の保存先は初期設定で、以下のパスになります。 <DSMインストールフォルダ>\webclient\webapps\ROOT\WEB-INF\dsm.properties

(6)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 6 1.3 アップグレード時に発生する可能性のある既知の事象 1.3.1 SQL Server Express 利用時のアップグレード後の表示について SQL Server Express利用環境をDSM11.0にアップグレードする際、DSMインストーラ実行時のシステムチェックで以下の警告メッセージが表示されますが、DSMのアップグレード自体は実行することができます。 DSM11.0にアップグレード後は、管理コンソール上に以下の通り、「このDSMに使用しているSQL Expressデータベースは本番環境ではサポートされません。」の警告が表示されます。上記は製品仕様によるものですが、SQL Server Express利用環境についてもサポート対象であり、問題なくご利用いただけます。

※一定規模以上の環境でSQL Server Expressをご利用いただいている場合は、SQL Serverをご利用いただく事を推奨させていただく場合がございます。

※詳細につきましては、以下のFAQをご確認ください。

▼Deep Security 10 以降でサポートされる無償版データベースについて

(7)

7 1.3.2 Oracle XE 利用時のアップグレード後の表示について

Oracle Database Express Edition (Oracle Database XE) 利用環境の場合、DSM11.0ではシステム要件外になりますので、DSM11.0インストール時のシステムチェックでインストールが停止します。(インストール停止後、アップグレード前の環境に戻りますので、その後の製品動作に影響はございません。) 1.3.3 vShield Manager 使用時の注意 DSVA環境でvShield Managerをご利用の場合、DS11.0環境ではシステム要件外になりますので、DSM11.0インストール時のシステムチェックでインストールが停止します。(インストール停止後、アップグレード前の環境に戻りますので、その後の製品動作に影響はございません。) ※詳細につきましては、次ページのスクリーンショット、および出力結果をご確認ください。 ---@unsupported_virtual_appliances.csv---

テナント,ホストID: ,ホスト名,前回使用されたIP,Agentバージョン,ESXiバージョン,vShield Managerバージョン,詳細 Primary,57,dsva1,192.168.0.42,9.6.2.5028,6.0.0,5.5,vShield Managerがサポート対象外のバージョンです。 Primary,61,dsva2,192.168.0.42,9.6.2.5028,6.0.0,5.5,vShield Managerがサポート対象外のバージョンです。 ---

(8)

2. DSVA9.0/9.5/9.6/10.0 から DSVA11.0 へのアップグレードパス

2.1 VMware 環境のアップグレードパスお使いの環境が vShield(VCNS)環境、もしくは NSX 環境かでアップグレード手順が異なります。vShield 環境をお使いの場合、全体的なアップグレード手順が複雑になりますので、DS9.0 をお使いの場合などは既存環境を削除し、 DS11.0 環境を新規構築いただく事もご検討をお願いいたします。 ※1 DS11.0 にアップグレードすると共に、NSX 環境への移行が必要です。詳細については、10 ページの「2.2 DS11.0 へのアップグレードパス」の内容をご確認ください。 ※2 DS11.0へアップグレードするためには、DSMのバージョンが9.6SP1P1(ビルド9.6.3400)以上である必要があります。お使いのDSMバージョンが9.6SP1P1(9.6.3400)未満の場合は、アップグレードが必要です。アップグレードの際には、事前にDBのスキーマアップグレードを事前に行う必要があります。以下のFAQを参考にスキーマアップグレードを実施願います。 ▼DSMデータベーススキーマアップグレード方法 http://esupport.trendmicro.com/solution/ja-JP/1113362.aspx お使いのVMware環境は？ vShield(VCNS)環境 ※1 NSX環境 ※2 DS11.0に移行するためのDS 環境の事前アップグレード DSVA無効化、削除 Filter Driverの削除 vCenter Server、ｖShield Managerの登録解除 DSMのアップグレード NSX Managerの展開、設定コンポーネントのインポート DSRのアップグレード Guest Introspectionの展開 DSVAの展開セキュリティグループ、セキュリティポリシーの設定仮想マシンの有効化 DS11.0へのアップグレード完了 DSMのアップグレード（27頁、3.5項を参照）コンポーネントのインポート（37頁、3.8項を参照） DSRのアップグレード（37頁、3.9項を参照） DSVAのアップグレード ※3

(9)

9

※3 DSVAのアップグレード手順は、以下のFAQの内容をご確認ください。

▼Deep Security Virtual Appliance アップグレード手順

(10)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 10 2.2 DS11.0 へのアップグレードパス各バージョンからのアップグレードパスは以下の通りになります。アップグレードパスは、DSM、DSR、DSVA のメジャーバージョンが同一の環境下でのアップグレードパスを示しています。メジャーバージョンが異なる場合、手順の実施前にメジャーバージョンを揃えた後、アップグレードをお願いします。 ※以下の手順は vShield 環境をお使いの方向けのアップグレードパスになります。 DSMのバージョンは？ DSM9.0 DSM9.5 DSM9.6 DSM9.0SP1P4 (ビルド9.0.6601) 以上 DSM9.0SP1P4 (ビルド9.0.6601) 未満 DSM9.5SP1P3 (ビルド9.5.7008) 以上 DSM9.5SP1P3 (ビルド9.5.7008) 未満 DSM9.6SP1P1 (ビルド9.6.3400) 以上 DSM9.6SP1P1 (ビルド9.6.3400) 未満 DSM9.0SP1P4 (ビルド9.0.6601) にアップグレードスキーマアップグレード DSM9.6SP1P1 (ビルド9.6.3400)以上にアップグレード DSM9.5SP1P3 (ビルド9.5.7008)以上にアップグレード DSM9.6SP1P1 (ビルド9.6.3400)以上にアップグレードバージョン11.0へのアップグレード完了 ※1 ※2 ※2 ※2 ※4 ※3 スキーマアップグレードスキーマアップグレード DSVA無効化、削除（22頁 3.2項を参照） DSVA無効化、削除（22頁 3.2項を参照） Filter Driver削除（25頁 3.3項を参照） DSMからvCenter、vShield Managerの登録解除（26頁 3.4項を参照） DSMを11.0にアップグレード（27頁 3.5項を参照） NSX Managerの展開、設定（32頁 3.6項を参照）管理コンソールへvCenter Serverの登録（34頁 3.7項を参照）コンポーネントのインポート（37頁 3.8項を参照） DSRのアップグレード（37頁 3.9項を参照） Guest Introspectionの展開（40頁 3.10項を参照） DSVAの展開（48頁 3.11項を参照）セキュリティグループ、セキュリティポリシーの設定（55頁 3.12項を参照）仮想マシンの有効化（63頁 3.13項を参照） DSM10.0

(11)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 11 ※1 DSM 9.0 SP1 P4未満をお使いの場合、DSM 9.0 SP1 P4にアップグレードする際にはスキーマアップグレードは必要ありませんが、DSM 9.0 SP1 P5にアップグレードする際には、スキーマアップグレードが必要です。複数回のスキーマアップグレードを行う工数を削減する為、DSM 9.0 SP1 P4未満をお使いの場合は、DSM 9.0 SP1 P4へアップグレードした後に、DSMをバージョン9.6にアップグレードいただく事をお勧めいたします。DSM 9.0 SP1 P4へのアップグレード手順、およびモジュールのダウンロードリンクにつきましては、下記をご確認ください。 ▼[9.x] アップグレード手順(修正プログラム/最新Patch の適用方法) http://esupport.trendmicro.com/solution/ja-jp/1103757.aspx ▼DSM 9.0 SP1 P4 (ビルド6601) Windows版ダウンロードリンク http://files.trendmicro.com/products/deepsecurity/Manager-Windows-9.0.6601.x64.exe ※本モジュールはDS11.0へのアップグレードを目的としてのみ、お使いいただけます。 ▼DSM 9.0 SP1 P4 (ビルド6601) Linux版ダウンロードリンク http://files.trendmicro.com/products/deepsecurity/Manager-Linux-9.0.6601.x64.sh ※本モジュールはDS11.0へのアップグレードを目的としてのみ、お使いいただけます。 ※2 スキーマアップグレードを行う場合は、以下のFAQの手順をご確認ください。 ▼DSMデータベーススキーマアップグレード方法 http://esupport.trendmicro.com/solution/ja-jp/1113362.aspx ※3 DSMを9.5 SP1 P3以上にアップグレードを行う場合は、以下のFAQの手順をご確認ください。 ▼Deep Security 9.5 へのアップグレードについて http://esupport.trendmicro.com/solution/ja-jp/1107256.aspx ※4 DSMを9.6 SP1 P1以上にアップグレードを行う場合は、以下のFAQの手順をご確認ください。 ▼Deep Security 9.6 へのアップグレードについて http://esupport.trendmicro.com/solution/ja-jp/1112605.aspx

(12)

12

[本手順で前提としている環境について]

※DS9.6からDS11.0へアップグレードすると共に、vShield ManagerをNSX Managerへ移行する手順について記載しています。 ※NSXの利用方法がGuest Introspectionのみ(利用機能が不正プログラム対策機能のみ)の手順です。

※Guest IntrospectionおよびDSVAのIPアドレスの付与は、固定IPを付与する手順を使用しています。

※NSX Managerには無償版ライセンスであるNSX for vShield Endpointを使用しています。Guest Introspectionの利用のみの場合、基本的には有償版ライセンスも同じ手順になります。

※23ページの「3.2 DSVAの無効化、削除」の手順の実施以降、63ページ「3.13仮想マシンの有効化」の手順が完了するまで、仮想マシンは保護されない状態になります。

※NSX for vShield Endpointライセンス利用時の注意事項につきまして、合わせて以下のFAQの内容をご確認ください。 ▼NSX for vShield Endpointライセンス利用時の注意事項

http://esupport.trendmicro.com/solution/ja-JP/1115601.aspx DS9.0からDS11.0へアップグレードする際は、事前にDS9.6SP1P1以上にアップグレードした後、DS11.0にアップグレードする必要があります。まず始めに、DSMをバージョン9.0から9.6へアップグレードします。 3.1 既存環境のアップグレード(DS9.0 から DS9.6 へのアップグレード) 1. 以下はDSM9.0の管理コンソール画面になります。全ての環境をDS11.0にアップグレードするために、始めにDSM9.0をDSM9.6にアップグレードします。 2. 使用するDSMインストーラは以下の通りです。 Windows版インストーラ：Manager-Windows-9.6.xxxx.x64.exe Linux版インストーラ：Manager-Linux-9.6.xxxx.x64.sh ※最新のインストーラは以下のサイトよりダウンロード願います。 ▼最新版ダウンロードページ(ダウンロード: 製品・パッチ・検索エンジン) https://help.deepsecurity.trendmicro.com/ja-jp/software-9-6.html

(13)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 13 3. インストーラを管理者権限にて実行後、言語に「日本語」を選択します。 4. DSM9.6セットアップウィザードが開きます。「次へ」を選択します。 5. 使用許諾契約書が表示されますので、「トレンドマイクロの使用許諾契約の全条項に同意します」のチェックボックスをオンにし、「次へ」を選択します。

(14)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 14 6. 「既存のインストールをアップグレード(現在の設定を管理)」を選択し、「次へ」を選択します。 7. データベーススキーマのアップグレード画面が開かれます。 ※データベーススキーマのアップグレードを行わずに次へ進んだ場合、以下のポップアップが出現し、インストールが中断されます。 ※Oracle Database をお使いの環境では、データベーススキーマのアップグレードを実施する必要はありませんので、手順 8～11 はスキップします。

(15)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 15 8. 手順7の画面にて「データベーススキーマのアップグレード手順とスクリプト」を選択すると、データベーススキーマのアップグレードに関する FAQ(英語版) が開きます。同様のFAQ(日本語版) を以下のサイトにて準備しておりますので、記載の手順をご確認の上、データベーススキーマを DS9.6SP1Patch1 以降のものへアップグレードします。 ▼DSMデータベーススキーマアップグレード方法 http://esupport.trendmicro.com/solution/ja-JP/1113362.aspx

9. FAQに記載の手順の通り、Trend Micro DB Upgrade Toolを実行し、データベースへ接続します。「MigratingT0 To：」は「9.6 SP1 P1(and above)」を選択します。

(16)

16

10. 「Migrate –Selected Database」を選択し、データベーススキーマのアップグレードを開始します。

※本手順の実行後、以下のポップアップが出現しますので、それぞれ「OK」と「はい」を選択し、処理を進めます。

(17)

17

11. データベーススキーマ完了後、以下の実行ログが自動的に表示されます。末尾に「Completed～」のログが出力され、データベーススキーマのアップグレードが正常に完了した事を確認します。

(18)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 18 12. データベーススキーマのアップグレード完了後、DSM9.6のインストーラ実行画面に戻ります。「スクリプトを実行し、データベースのアップグレードを完了しました。」のチェックボックスをオンにした後、「次へ」を選択します。 13. 「インストール」を選択します。

(19)

19 14. インストール中の画面に推移します。

(20)

20

16. DSM9.6の管理コンソール画面へ正常にログインが出来る事を確認します。

(21)

21 17. DSVAは9.0.0.5000のままの状態です。

(22)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 22 3.2 DSVA の無効化、削除 1. DSVAを右クリックした後、「Applianceの無効化」を選択し、DSVAを無効化します。 ※無効化時に以下のポップアップが出力されますが、「OK」を選択します。

(23)

23

2. vSphere Client経由でESXiへ接続し、「ゲストのシャットダウン(D)」を選択しDSVAをシャットダウンします。

(24)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 24 4. 管理コンソールからDSVAが削除された事を確認します。 3.3 Filter Driver の削除 1. DSM管理コンソールからESXiを選択し、「Filter Driverの削除」を選択します。

※「Filter Driverの削除」は、DS9.0およびFilter Driverを使用しているDS9.5から11.0へのアップグレード、かつ vShiled環境でDSVAをご利用の環境でのみ実施します。

(25)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 25 3. ESXiサーバをメンテナンスモードにする必要がある旨の確認画面が表示されます。ESXiサーバがメンテナンスモードに移行した際は、ESXiサーバの再起動が発生します。必要に応じ、事前にESXi配下の仮想マシンを別ホストにvMotionするなどして退避します。「完了」を選択します。 4. Filter DriverをESXiサーバから削除している旨が表示されます。 5. Filter Driverが削除され、以下の画面が表示されます。

(26)

26 3.4 vCenter Server、vShield Manager の登録解除

1. vSphere Clientより、vShield Managerをシャットダウンします。

2. 管理コンソールより、「VMware vCenterの削除...」を選択し、vCenterServerの削除を行います。

3. 「VMware vCenterおよびすべての下位コンピュータ/グループをDSMから削除します」を選択した後、「OK」を選択します。

(27)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 27 5. 管理コンソールからvCenterの表示が削除された事を確認します。 ※バージョン 9.0 以前の DSA が DSM に登録されていない事も合わせて確認します。 3.5 DSM のアップグレード 1. DSMのインストーラを準備します。 Windows版インストーラ：Manager-Windows-11.0.xxxx.x64.exe Linux版インストーラ：Manager-Linux-11.0.xxxx.x64.sh 2. 言語に「日本語」を選択します。 3. セットアップウィザードが表示されます。「次へ>」を選択します。

(28)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 28 4. 「トレンドマイクロの使用許諾契約の全条項に同意します」を選択後、「次へ>」を選択します。 5. 「既存のインストールをアップグレード(現在の設定を管理)」を選択し、「次へ>」を選択します。 6. 「システムチェックを開始」を選択します。

(29)

29

7. システムチェックが問題無く完了した事を確認し、「Deep Security Managerをアップグレード」を選択します。

DS11.0でサポートされる無償版データベースについては、以下のFAQの内容をご確認ください。 ▼Deep Security 10 以降でサポートされる無償版データベースについて

http://esupport.trendmicro.com/solution/ja-JP/1116866.aspx

システムチェック時に何らかのエラーが発生した場合は、以下の様に「Deep Security Manager をアップグレード」のボックスがグレーアウトします。

(30)

30 8. 「インストール」を選択します。

(31)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 31 10. インストール完了画面が表示されます。 3.6 NSX Manager の展開、設定 1. NSXManagerをVMware社のダウンロードサイトから入手、展開し、ログイン画面を開きます。 ※NSX Managerのダウンロード方法、展開手順については、VMware社のサイトをご確認ください。 ▼ダウンロードVMware NSX https://my.vmware.com/jp/web/vmware/info/slug/networking_security/vmware_nsx/6_x?usg=AFQjCNFD7xvvt1wuUa4Ed1Vti18xqa6wTw ※DS11.0 に対応する NSX Manager のバージョンについては、以下のサイトをご確認ください。 ▼Deep Security and VMware compatibility matrix

(32)

32 2. 「Manage Appliance Settings」を選択します。

3. [Manage]>[NSX Management Service]を選択し、[vCenter Server]>[Edit]を選択します。

(33)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 33 5. SSL証明書の確認画面が表示されますので、「Yes」を選択します。 6. vCenter登録情報、および「Sｔatus」が「Connected」である事を確認し、vCenter Serverが正常に登録された事を確認します。

7. 「Summary」タブを選択し、「vPostgres」、「RabbitMQ」、「NSX Management Service」のStatusが「Running」の状態である事を確認します。

(34)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 34 3.7 管理コンソールへ vCenterServer の登録 1. DSM管理コンソールのコンピュータタブより、「VMware vCenterの追加」を選択します。 2. vCenter Serverのシステム情報を入力し、「次へ>」を選択します。 3. NSX Managerのシステム情報を入力し、「次へ>」を選択します。

(35)

35

4. SSL証明書の確認画面が表示されますので、「受け入れる」を選択します。

(36)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 36 6. VMware vCenterの登録完了画面が表示されます。「閉じる」を選択します。 7. DSM管理コンソールのコンピュータタブから、vCenter Serverおよび配下のコンポーネント(ESXiサーバ、仮想マシン)が登録された事を確認します。

(37)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 37 3.8 コンポーネントのインポート 1. DS11.0へアップグレードするために必要なモジュールを、事前にDSMにインポートします。以下のモジュールをインポートします。 Appliance-ESX-11.0.0-XXXX.x86-64.zip (DSVA本体) Agent-Windows-11.0-XXXX.x86-64.zip (DSR用モジュール) ※WindowsOSにDSRを導入する場合 3.9 DSR のアップグレード 1. 次に、DSRをアップグレードします。以下の例では現在のDSRのバージョンは、9.6です。

(38)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 38 2. 次に、DSRをDSR11.0にアップグレードする必要があります。管理コンソールの[コンピュータ]タブより対象の DSRを右クリックし、「Agentソフトウェアのアップグレード…」を選択した後、以下の画面が出現します。実行スケジュールを選択後、「OK」を選択します。 ※アップグレード前に、アップグレード後のモジュール(DSA11.0のモジュール) がDSMにインポートされている必要があります。 ※DSRはバージョン9.5以降で、Relay機能がDSAのモジュールに内包されています。 ※DSR9.0のWindows 32bit版を使用している場合は、DS11.0では対応していないため、別のDSRを使用してください。 [参考] ▼システム要件 https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/deep-security-data-center.html#requirement

(39)

(40)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 40 3. DSRがバージョン11.0にアップグレードされた事を確認します。 3.10 Guest Introspection の展開 ※本手順では、IPアドレスの付与方法は、DHCPではなく固定IPを付与する手順を使用しています。 1. vCenter ServerへVMware vSphere Web Client経由でログインします。

(41)

41 2. 「Networking and Security」を選択します。

3. NSXの登録数が正しく表示されている事を確認します。本手順の場合、展開したNSXが1台のため、下記の様にNSX Managerのリンク上に「1」が表示されます。

(42)

42 4. 「インストール手順」を選択します。

(43)

43

6. 「Guest Introspection」のチェックボックスをオンにした後、「次へ」を選択します。

(44)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 44 8. データストア、およびネットワークを選択し、「変更」を選択します。 ※本手順では、固定IPを使用する為、変更を選択しています。 9. 「新規IPプールの追加」を選択します。

(45)

45 10. 固定IPプールの設定を行い、「OK」を選択します。

(46)

46 12. 「次へ」を選択します。

(47)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 47 14. サービスステータスが「接続中」と表示され、Guest Introspectionが正常に配信された事を確認します。万が一、配信時にエラーが発生した場合は、以下のFAQの「ストレージおよび管理ネットワークの選択ができない」項をご確認の上、事前にクラスタ内の各ホストでエージェント仮想マシンの設定で、データストアとネットワークを指定しているか、ご確認をお願いいたします。

▼NSX for vShield Endpointライセンス利用時の注意事項

(48)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 48 3.11 DSVA の展開 ※本手順では、IPアドレスの付与方法は、DHCPではなく固定IPを付与する手順を使用しています。 1[管理]>[システム設定]>[アップデート]>[アップデート]>[Virtual Applianceのバージョン管理]にて、DSVAの有効化時に利用可能な最新バージョン(11.0)へアップグレードされるように、以下の「利用可能な最新バージョン(推奨)」になっている事を確認します。 2. DSVAの配信設定を行います。NSX Managerより、「新しいサービスのデプロイ」を選択します。

(49)

49

3. 「Trend Micro Deep Security」のチェックボックスをオンにした後、「次へ」を選択します。

(50)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 50 5. 固定IPを設定するため、IP割り当ての「変更」を選択します。 ※本手順では、固定IPを使用する為、変更を選択しています。 6. 「新規IPプールの追加」を選択します。

(51)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 51 7. 固定IPプールの設定を行い、「OK」を選択します。 8. 作成したIPプールを指定し、「OK」を選択します。 9. 「次へ」を選択します。

(52)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 52 10. 「終了」を選択します。 11. 「はい」を選択します。 12. サービスステータスが「接続中」であり、DSVAが正しく登録された事を確認します。NSX無償版ライセンス (NSX for vShield Endpoint)をお使いの場合、インストールの状態は「失敗」と表示されますが、制限事項であり、サービスステータスが「接続中」の場合は動作に影響はありません。

(53)

53

以下のアラームが出力しますが、サービスステータスが「接続中」の場合、問題ありません。

詳細につきましては、下記トラブルシュートガイド15ページ目をご確認ください。 ▼Trend Micro Deep Security DSVA 9.5/9.6 トラブルシューティングガイド(NSX編)

http://files.trendmicro.com/jp/ucmodule/tmds/doc/DSVA_9.5-6TroubleshootingTips_NSX.pdf?cm_re=Sup-_-ds-_-guide_8

vSphere Client 上では、正しくDSVAが配信された事が確認できます。

万が一、配信時にエラーが発生した場合は、以下のFAQの「ストレージおよび管理ネットワークの選択ができない」項をご確認の上、事前にクラスタ内の各ホストでエージェント仮想マシンの設定で、データストアとネットワークを指定しているか、ご確認をお願いいたします。

▼NSX for vShield Endpointライセンス利用時の注意事項

(54)

54

(55)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 55 3.12 セキュリティグループ、セキュリティポリシーの設定セキュリティグループ、セキュリティポリシーの設定を行う事により、対象の仮想マシン、および保護手段を定義します。本設定は、NSX環境でDSVAを使用するために必須の設定です。 1. NSX Managerより、新規Security Groupを作成します。 2. 新規Security Groupの名前(例. DS SG) を設定し、「次へ」を選択します。

(56)

56 3. メンバーシップ基準を指定した後、「次へ」を選択します。

(57)

(58)

58

7. 「Service Composer」より、新規セキュリティポリシーを作成します。

(59)

59

9. ゲストイントロスペクションサービスを追加し、「OK」を選択します。

(60)

(61)

61 13. 「終了」を選択します。

(62)

62

15. 作成したSecurity Groupから、「ポリシーの適用」を選択します。

(63)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 63 17. セキュリティポリシーが正しく指定された事を確認します。 3.13 仮想マシンの有効化 1. 管理コンソールのコンピュータタブより、ESXi配下の仮想マシンを有効化します。

(64)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 64 3.14 DS11.0 へのアップグレード完了 1. 管理コンソール上のステータスが「管理対象(オンライン)」と表示され、正しく有効化された事を確認します。以上でDS11.0へのアップグレードは完了です。アップグレード後、製品が正しく動作する事を確認する場合は、以下のFAQを参考に動作確認を行います。 ▼不正プログラム対策の動作確認 http://esupport.trendmicro.com/solution/ja-JP/1114066.aspx ▼変更監視の動作確認 http://esupport.trendmicro.com/solution/ja-JP/1114070.aspx DSA11.0をお使いの場合、もしくは有償版のNSXライセンスをお使いの場合で、他の機能もご利用の場合は、以下のFAQも合わせてご確認ください。 ▼Webレピュテーションの動作確認 http://esupport.trendmicro.com/solution/ja-JP/1114067.aspx ▼ファイアウォールの動作確認方法 http://esupport.trendmicro.com/solution/ja-JP/1114068.aspx ▼侵入防御の動作確認方法 http://esupport.trendmicro.com/solution/ja-JP/1097204.aspx ▼セキュリティログ監視の動作確認 http://esupport.trendmicro.com/solution/ja-JP/1114071.aspx

(65)

補足：アップグレード関連の FAQ

▼[9.x] アップグレード手順(修正プログラム/最新Patch の適用方法) http://esupport.trendmicro.com/solution/ja-jp/1103757.aspx ▼DSMデータベーススキーマアップグレード方法 http://esupport.trendmicro.com/solution/ja-jp/1113362.aspx ▼アップグレード前のデータベーススキーマの手動アップグレード方法 http://esupport.trendmicro.com/solution/ja-jp/1112471.aspx ▼Deep Security 9.0 へのアップグレードのシナリオ http://esupport.trendmicro.com/solution/ja-JP/1097506.aspx ▼Deep Security 9.5 へのアップグレードについて http://esupport.trendmicro.com/solution/ja-jp/1107256.aspx ▼Deep Security 9.6 へのアップグレードについて http://esupport.trendmicro.com/solution/ja-jp/1112605.aspx ▼Deep Security 10.0 へのアップグレードについて http://esupport.trendmicro.com/solution/ja-jp/1116872.aspx

▼Deep Security Virtual Appliance アップグレード手順

http://esupport.trendmicro.com/solution/ja-jp/1099560.aspx ▼VMware ESX/ESXi アップグレード時の注意点・対処について http://esupport.trendmicro.com/solution/ja-jp/1099551.aspx ▼vShield Endpoint/Manager のアップグレード・再インストール時の注意点・対処について http://esupport.trendmicro.com/solution/ja-jp/1098762.aspx ▼[9.x] [10.x][11.x]診断パッケージ (Diagnostic Package) の取得方法 http://esupport.trendmicro.com/solution/ja-JP/1097200.aspx

▼Deep Security Virtual Applianceのアップグレード

https://help.deepsecurity.trendmicro.com/11_0/on-premise/ja-jp/Get-Started/Install/upgrade-dsva.html

▼Deep Security ヘルプセンター

(66)

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード) 66 更新履歴日付ページ更新内容 2018/09/03 - 新規作成 2018/10/24 10 「2.2 DS11.0 へのアップグレードパス」において、DSM9.5.7008 の場合でも、スキーマアップグレードが必要なためその旨修正しました。 2019/04/11 33 「[9.x] 診断パッケージ(Diagnostic Package) の取得方法」リンクのタイトルを最新化しました。

Deep Security 11.0 アップグレードガイドブック (DS9.0/9.5/9.6/10.0 から DS11.0 へのアップグレード ) 2019 年 4 月 11 日第 1 版 トレンドマイクロ株式会社テクニカルサポートグループ Deep Security 11.0 アップグレードガイ