KSV4.0_Agentless_紹介資料 - PDF 無料ダウンロード

仮想環境専用アンチウイルス製品 Kaspersky Security for Virtualization(KSV)4.0 Agentless ご紹介 2017 年 8 月 29 日株式会社カスペルスキーコーポレートビジネス本部

目次 P3 仮想環境を取り巻くセキュリティ脅威の背景と運用課題 P9 Kaspersky Security for Virtualization(KSV) による課題解決 - KSV AgentlessとVMware NSX 連携機能 - KSV Agentlessのセキュリティ機能とパフォーマンス性能 P28 KSVと競合他社製品の機能比較 P31 付録 - 競合他社製品価格比較 - プレミアサポート (MSA) のご案内 2

仮想環境を取り巻くセキュリティ脅威の背景と運用課題 3

セキュリティ脅威の背景拡散型ランサムウェア (WannaCry など ) ランサムウェアとはクライアントやサーバーデータを不正に暗号化を行い解除してほしい場合は金銭を要求する非常に悪質なコンピューターウイルス 2017 年のランサムウェアは拡散型の仕組みを持つことが特徴ランサムウェアは WannaCry によって一般社会にも広く認知される存在に左の画面は WannaCry 感染時に表示される脅迫文身代金支払いはビットコインを利用 4

セキュリティ脅威の背景ランサムウェアの感染手法はばらまき型から拡散型へばらまき型改ざんされた WEB サイト経由やメール経由での感染拡散型マルウェアが自動でネットワーク接続されている別端末に自動的に感染 1 台感染すると次から次へと拡散がはじまり 5 影響がシステム全体に波及!

仮想化セキュリティの運用課題仮想環境へのアンチウイルス導入は運用面を考慮する必要があるきちんとした設計をせずに従来型アンチウイルス製品を導入すると以下のような運用課題に遭遇するスケジュールスキャン時のシステム負荷問題定義ファイル更新時のネットワーク負荷問題ライセンス管理の問題拡散型マルウェア対策 Windows と Linux ゲスト OS の統合管理 6

仮想環境へ従来型アンチウイルスを導入した場合 VDI 環境に従来の物理 PC で利用していたセキュリティ対策製品を入れた場合以下の問題が発生スキャンストームゲスト OS が同時にスキャンを開始することでピーク時のリソース使用率が増大 ( 特に CPU ディスク I/O) アップデートストーム同じタイミングで定義データベース ( パターンファイル ) を取得に行くためネットワーク帯域を想定以上に消費結果仮想マシンの動作遅延さらには最悪システム停止につながる場合も 7

スキャンストームアップデートストームの発生それぞれの VM が全ての定義データベース更新プログラムスキャンエンジンをローカルに保持しそこで処理を実行負荷アップ同じ環境負荷アップ負荷アップ負荷アップ負荷アップ同じ環境同じ環境同じ環境同じ環境瞬間的なホストの負荷増大など非効率なリソース消費が課題問題点 VM: 仮想マシン 1 アップデートストームによる過剰なネットワーク帯域消費 2 スキャンストームによる CPU メモリディスク消費パフォーマンスダウン管理サーバーで負荷を考慮した設定が困難 3 停止中 VM の定義未更新定義 DB が古く起動直後にマルウェア感染リスクが高い 4 実装可能な VM 数の低下 ( サーバー集約率低下 ) 8

Kaspersky Security for Virtualization(KSV) による課題解決 KSV Agentless と VMware NSX 連携機能 ( 拡散防止型セキュリティなど ) 9

カスペルスキーの仮想環境向けアンチウイルス Kaspersky Security for Virtualization(KSV) KSV はお客様要件に応じて 2 種類の仮想向け製品から選択可能 ( ライセンスは共通 ) 1. VMware NSX 連携機能を持つエージェントレス型 - VMware NSX と連携した拡散防止セキュリティの実装 - システムパフォーマンスを最大限まで活かすデータセンターやサービス事業者向け 2. 仮想デスクトップ (VDI) 環境に最適なライトエージェント型 - 未知の脅威対策に効果的な振る舞い検知など高度なセキュリティ機能を網羅 - セキュリティ機能とパフォーマンスを両立し仮想デスクトップ (VDI) にオススメ 10

NSX 連携によるセキュリティ強化と効率化 Agentless KSV 4.0 Agentless では NSX 連携にて以下のことが実現可能です NSX 連携機能拡散防止型セキュリティ ( セキュリティタグ利用 ) KSVによるウイルス検知時に NSXにて対象 VMを自動的にネットワークから隔離管理者による処置またはフルスキャン後対象 VMを自動的にネットワークに復帰 Secure VMの自動デプロイ NSXポリシーによりSecure VM( ファイルアンチウイルスネットワーク攻撃防御 ) を新規仮想化プラットフォームに自動でデプロイセキュリティ機能のオン / オフをポリシーで制御 NSXポリシーによりファイルアンチウイルス機能とネットワーク攻撃防御機能の使用是非を各単位で制御 ( 特定のVMやVMグループ ) KSV のセキュリティ機能 Linux ゲスト OS 保護対応オンラインオフラインスキャン 11 オフラインの VM をスキャン可能

VMware NSX と連携する KSV Agentless エージェントレス型の目玉は VMware NSX 連携機能マルウェアを検知した仮想マシンを NSX 連携機能により自動で仮想ネットワークから隔離が可能 2017 年のマルウェアは WannaCry を代表するように拡散型機能を標準的に持つよう進化しており拡散防止型セキュリティが再注目を集める本資料では KSV Agentless をご紹介します 12

KSV 4.0 Agentless & VMware NSX アーキテクチャー KSV 4.0 AgentlessはVMware NSXとの連携機能をサポートマルウェア検知時のVM 隔離の自動化 ( マイクロセグメンテーション ) 仮想セキュリティアプライアンス (SVM NAB) 実装の自動化ハイパーバイザーインフラストラクチャの前提条件 : Prerequisites for VMware vsphere と NSX VMware vsphere with NSX 仮想 VM の必要要件 : VMware Tools ( カスタムインストール ) - NSX Introspection Driver NSX マネージャー Guest Introspection サービス VMware Network Fabric 13

各 NSX ライセンスで実現できる KSV セキュリティ機能 NSX ライセンスによって利用できる KSV 機能が異なります拡散防止型セキュリティの実現には NSX Advanced / Enterprise が必要ですファイルアンチウイルスは NSX for vshield Endpoint でも使用可能自動隔離 ( マイクロセグメンテーションによる感染 VM のネットワーク隔離 ) の実現には NSX Advanced / Enterprise ライセンスが必要ネットワーク攻撃防御も同様に NSX Advanced / Enterprise ライセンスが必要利用できる KSV 機能 NSX for vshield Endpoint ( 無償ライセンス ) NSX Standard NSX Advanced NSX Enterprise ファイルアンチウイルス ( 自動隔離なし ) ファイルアンチウイルス ( 自動隔離あり ) ネットワーク攻撃防御 14

マルウェア検知時の仮想マシン自動隔離 ( マイクロセグメンテーション ) セキュリティタグを利用した感染被害の拡大防止の流れ保護 VMでウイルスが検知された際にセキュリティタグが付与される付与されたセキュリティタグと連動して隔離用 NSXセキュリティポリシーが適用 (NSXセキュリティポリシーにはVMware 分散 FWの遮断ルールを事前定義する ) 隔離用の分散 FWルールが反映し自動的にVMの隔離まで実施する感染 VM を自動でネットワーク隔離 15

マルウェア検知時の仮想マシン自動隔離 ( マイクロセグメンテーション ) 16

KSV & VMware NSX: 保護機能のオン / オフポリシー制御管理サーバー (KSC) のポリシー設定から各 VM のセキュリティ機能オン / オフ設定が容易に切り替え可能 vcenter Server から情報取得有効無効 KSV 保護対象 VM をワンクリックで選択 ( デフォルトではすべて保護対象 ) 17

KSV & VMware NSX:Secure VM の自動デプロイ NSX サービスのデプロイ設定により Cluster への新規 ESXi 追加時に SVM と NAB を自動的にデプロイ ( オートメーション化 ) オートメーション化により VM の保護に必要なセキュリティ機能の展開運用工数を削減 Cluster NSX Manager 1 ESXi を Cluster に追加 2 Cluster に追加された ESXi に SVM と NAB を自動展開 18

Kaspersky Security for Virtualization(KSV) による課題解決 KSV Agentless のセキュリティ機能とパフォーマンス性能 19

KSV Agentless によるセキュリティ保護の仕組み Security Virtual Machine ( SVM ) Linux ベースの仮想アプライアンス ( サービス VM) ファイルアンチウイルス機能を担当各 VM のスキャンオブジェクトを一括でスキャン負荷が上昇するのは SVM のみとなるためホスト全体へのパフォーマンス影響が少ない Network Attack Blocker ( NAB ) SVM と同様に仮想アプライアンスとして提供ネットワーク攻撃防御機能を担当各 VM のプロトコルベースのネットワーク攻撃検知を実施メリット : 1. スキャンパフォーマンス最適化 SVM と NAB によるスキャン処理の集中化 2. VMware NSX との連携による拡散防止型セキュリティマルウェア検知時に対象 VM を自動的にネットワークから隔離 3. Windows Linux ゲスト OS 対応両 OS でまったく同様の保護機能が利用可能 4. オフライン VM データのスキャン停止中の VM データもスキャンが可能 20

Security Virtual Machine (SVM) - ファイルアンチウイルス用仮想アプライアンス - KSV 導入時に展開されるファイルアンチウイルス機能を提供する仮想アプライアンス保護対象全 VMのスキャンを代理で一括実施 ( スキャン時のVM 負荷をSVMが肩代わり ) 最新の定義データベース保持共有キャッシュによるスキャン対象ファイルの重複排除 SVM によるファイルアンチウイルス機能は無償ライセンスの NSX for vshield Endpoint でも利用可能です ( 有償の NSX ライセンスは不要 ) 21

SVM の共有キャッシュ機能 SVM がスキャンファイルとその結果を保持することでファイルスキャンの重複排除を実現ファイルキャッシュとその判定結果をSVMに保持一度スキャンしたオブジェクトをスキップすることでファイルスキャンタスクの大幅な効率化が可能 ( スキャンの高速化リソース消費低減 ) 22

Network Attack Blocker(NAB) - ネットワーク攻撃防御用仮想アプライアンス - KSV 導入時に展開されるネットワーク攻撃防御機能 (IPS) を提供する仮想アプライアンスパケットレベルでのネットワーク攻撃をブロック WEBサイトのURL 判定機能通常のアンチウイルス製品では提供しないLinux OSに対するネットワーク攻撃にも対応 NAB によるネットワーク防御機能は NSX Advanced 以上のライセンスが必須です (NSX for vshield Endpoint や NSX Standard では利用不可 ) 23

クラウドプロテクション ( レピュテーション ) Kaspersky Security Network(KSN) KSNは世界中のユーザーから収集された最新の脅威情報データベースカスペルスキー製品によって保護された仮想マシンはこの脅威情報データベースを参照することでゼロデイ攻撃のような最新の脅威にも対応することが可能 Kaspersky Security Network(KSN) の仕組み 1 カスペルスキーが導入されたコンピューターは不審な挙動を見せる脅威に関する情報をリアルタイムで KSN に送信 2 カスペルスキーの Automatic Analysis System にて悪意のある脅威は即座に緊急検知 DB に追加される 3 ユーザーコンピューターはリアルタイムで KSN 上の緊急検知 DB やホワイトリスト情報を都度参照し最新の情報で端末を保護 4 KSN へ登録された脅威情報はカスペルスキーのアナリストが正確に解析評価し定義 DB へ反映 24

KSV & VMware NSX: オンラインオフラインスキャンパワーオフ状態の VM に対するスキャン機能 (NTFS と FAT32 の場合 ) マスター VM やスタンバイ VM に対してもセキュリティ保護が可能に新機能 : 他社にはないオフライン VM スキャン機能 powered-on & powered-off 25

管理サーバー (KSC) の VM ステータス表示 - vcenter Server 連携 - Agentless 管理サーバー (KSC) は vcenter ServerからVMステータスを取得各仮想マシン (VM) ごとに下記のステータス表示が可能 - 保護ステータス - NSXセキュリティポリシー適用状態 - VM 名 VMのパス OSタイプ - 定義データベースアップデート日時 - スキャン日時など 26

KSV Agentless の対応仮想プラットフォーム Agentless ハイパーバイザー Linux ゲスト OS に対応保護機能は Windows と同様 VDI アプリケーションサーバー仮想化デスクトップ仮想化 27

KSV と競合他社製品の機能比較 28

KSV Agentless と競合他社製品 Agentless の比較機能 KSV Agentless T 社 Agentless ファイルアンチウイルスメールアンチウイルスウェブアンチウイルス (URL) (URL) メッセンジャーアンチウイルスファイアウォールクラウドレピュテーションネットワーク攻撃防御振る舞い検知 (HIPS 以外 ) 追加オプション (Virtual Patch) KSV の優位性 KSV Agentlessは競合他社が備える機能を全て実装他社製品はネットワーク攻撃防御利用に別費用で追加オプションが必要 (KSVは標準搭載) 他社製品は LinuxゲストOS 未対応他社製品はオフラインVMスキャン機能なし脆弱性攻撃ブロックアプリケーション権限コントロールアプリケーション起動コントロールデバイスコントロールウェブコントロールオフライン VM スキャン Linux 対応 29

KSV と競合他社仮想向け製品の機能比較機能 KSV Light Agent KSV Agentless T 社 Agent/Combine T 社 Agentless M 社ファイルアンチウイルスメールアンチウイルスウェブアンチウイルス (URL) (URL) (URL) メッセンジャーアンチウイルスファイアウォールクラウドレピュテーションネットワーク攻撃防御追加オプション (Virtual Patch) 追加オプション (Virtual Patch) 振る舞い検知 (HIPS 以外 ) ( 挙動監視ロールバック機能なし ) 脆弱性攻撃ブロックアプリケーション権限コントロールアプリケーション起動コントロールデバイスコントロールウェブコントロールオフラインVMスキャン Linux 対応 Windows クライアントOS 保護機能で比較した結果です ( カスペルスキー調べ ) 30

付録 : 競合他社製品価格比較 31

競合他社製品価格比較他社製品のフル機能ライセンスと比較した製品価格 ( 物理サーバー 1 台あたりのモデルケース ) サーバー機種 2U の標準的なラックマウントサーバー Intel Xeon Processor E5-2650 v4 (30M Cache, 2.20 GHz) 搭載物理 CPU 数 2 個 (1CPU あたりの物理コア数 12) T 社製品単価 630,000 x 2(CPU) = 1,260,000 KSV LA Kaspersky Security for Virtualization 単価 160,000 x 2(CPU) = 320,000 他社製品からの乗り換えはここからさらに半額でご提供 32

他社製品の価格表 - 非常に複雑なライセンス体系 - お客様要件に応じて必要オプションを適切に選択することが必要製品に精通していないとどのオプションにどの機能が含まれているかの判断が困難 33

KSV 製品の価格表 - シンプルなライセンス体系 - ライセンスにフル機能が含まれるため別途オプション考慮は不要また Agentless と Light Agent ライセンスは共通のため購入後の選択も自由 34

参考 : ライセンス数の計算物理 CPU 単位でのライセンス体系 VM 数は関係なし物理 CPU 数で計算する図のように 2CPU 搭載の物理サーバーであればライセンス数は 2 となる ( ) 物理サーバー上で稼働する仮想マシン (VM) は何台使っていただいてもライセンス上は問題なし CPU 数が 2 なので必要ライセンス数は 2 となる物理 CPU 数で計算 1 2 VM 数に依存しない点がメリットハードウェア ( 物理サーバー ) 追加ごとにライセンスが必要なイメージなので管理しやすい 35 12 コアまでを 1 物理 CPU と算出します詳しくはお問い合わせください

付録 : プレミアサポートのご案内 36

プレミアサポート ( 有償 ) 通常サポートはライセンス費用に含まれますプレミアサポート (MSA) は 24 時間 365 日サポートなど上位サポートニーズに対応します Maintenance Service Agreement(MSA) メニュー 37