仮想環境専用アンチウイルス製品 Kaspersky Security for Virtualization(KSV)4.0 Agentless ご紹介 2017 年 8 月 29 日株式会社カスペルスキーコーポレートビジネス本部
目次 P3 仮想環境を取り巻くセキュリティ脅威の背景と運用課題 P9 Kaspersky Security for Virtualization(KSV) による課題解決 - KSV AgentlessとVMware NSX 連携機能 - KSV Agentlessのセキュリティ機能とパフォーマンス性能 P28 KSVと競合他社製品の機能比較 P31 付録 - 競合他社製品価格比較 - プレミアサポート (MSA) のご案内 2
仮想環境を取り巻くセキュリティ脅威の背景と運用課題 3
セキュリティ脅威の背景拡散型ランサムウェア (WannaCry など ) ランサムウェアとは クライアントやサーバーデータを不正に暗号化を行い 解除してほしい場合は金銭を要求する非常に悪質なコンピューターウイルス 2017 年のランサムウェアは 拡散型の仕組みを持つことが特徴 ランサムウェアは WannaCry によって一般社会にも広く認知される存在に 左の画面は WannaCry 感染時に表示される脅迫文 身代金支払いは ビットコインを利用 4
セキュリティ脅威の背景ランサムウェアの感染手法はばらまき型から拡散型へ ばらまき型改ざんされた WEB サイト経由やメール経由での感染 拡散型マルウェアが自動でネットワーク接続されている別端末に自動的に感染 1 台感染すると 次から次へと拡散がはじまり 5 影響がシステム全体に波及!
仮想化セキュリティの運用課題 仮想環境へのアンチウイルス導入は 運用面を考慮する必要がある きちんとした設計をせずに 従来型アンチウイルス製品を導入すると 以下のような運用課題に遭遇する スケジュールスキャン時のシステム負荷問題 定義ファイル更新時のネットワーク負荷問題 ライセンス管理の問題 拡散型マルウェア対策 Windows と Linux ゲスト OS の統合管理 6
仮想環境へ従来型アンチウイルスを導入した場合 VDI 環境に従来の物理 PC で利用していたセキュリティ対策製品を入れた場合 以下の問題が発生 スキャンストーム ゲスト OS が 同時にスキャンを開始することで ピーク時のリソース使用率が増大 ( 特に CPU ディスク I/O) アップデートストーム 同じタイミングで定義データベース ( パターンファイル ) を取得に行くため ネットワーク帯域を想定以上に消費 結果 仮想マシンの動作遅延 さらには最悪 システム停止につながる場合も 7
スキャンストーム アップデートストームの発生 それぞれの VM が全ての 定義データベース 更新プログラム スキャンエンジンをローカルに保持し そこで処理を実行 負荷アップ 同じ環境 負荷アップ負荷アップ負荷アップ負荷アップ 同じ環境同じ環境同じ環境同じ環境 瞬間的なホストの負荷増大など非効率なリソース消費が課題 問題点 VM: 仮想マシン 1 アップデートストームによる 過剰なネットワーク帯域消費 2 スキャンストームによる CPU メモリ ディスク消費 パフォーマンスダウン 管理サーバーで負荷を考慮した設定が困難 3 停止中 VM の定義未更新 定義 DB が古く 起動直後に マルウェア感染リスクが高い 4 実装可能な VM 数の低下 ( サーバー集約率低下 ) 8
Kaspersky Security for Virtualization(KSV) による課題解決 KSV Agentless と VMware NSX 連携機能 ( 拡散防止型セキュリティなど ) 9
カスペルスキーの仮想環境向けアンチウイルス Kaspersky Security for Virtualization(KSV) KSV は お客様要件に応じて 2 種類の仮想向け製品から選択可能 ( ライセンスは共通 ) 1. VMware NSX 連携機能を持つエージェントレス型 - VMware NSX と連携した拡散防止セキュリティの実装 - システムパフォーマンスを最大限まで活かすデータセンターやサービス事業者向け 2. 仮想デスクトップ (VDI) 環境に最適なライトエージェント型 - 未知の脅威対策に効果的な振る舞い検知など 高度なセキュリティ機能を網羅 - セキュリティ機能とパフォーマンスを両立し 仮想デスクトップ (VDI) にオススメ 10
NSX 連携によるセキュリティ強化と効率化 Agentless KSV 4.0 Agentless では NSX 連携にて以下のことが実現可能です NSX 連携機能 拡散防止型セキュリティ ( セキュリティタグ利用 ) KSVによるウイルス検知時に NSXにて対象 VMを自動的にネットワークから隔離 管理者による処置またはフルスキャン後 対象 VMを自動的にネットワークに復帰 Secure VMの自動デプロイ NSXポリシーによりSecure VM( ファイルアンチウイルス ネットワーク攻撃防御 ) を新規仮想化プラットフォームに自動でデプロイ セキュリティ機能のオン / オフをポリシーで制御 NSXポリシーによりファイルアンチウイルス機能とネットワーク攻撃防御機能の使用是非を各単位で制御 ( 特定のVMやVMグループ ) KSV のセキュリティ機能 Linux ゲスト OS 保護対応 オンライン オフラインスキャン 11 オフラインの VM をスキャン可能
VMware NSX と連携する KSV Agentless エージェントレス型の目玉は VMware NSX 連携機能 マルウェアを検知した仮想マシンを NSX 連携機能により 自動で仮想ネットワークから隔離が可能 2017 年のマルウェアは WannaCry を代表するように拡散型機能を標準的に持つよう進化しており 拡散防止型セキュリティが再注目を集める 本資料では KSV Agentless をご紹介します 12
KSV 4.0 Agentless & VMware NSX アーキテクチャー KSV 4.0 AgentlessはVMware NSXとの連携機能をサポート マルウェア検知時のVM 隔離の自動化 ( マイクロセグメンテーション ) 仮想セキュリティアプライアンス (SVM NAB) 実装の自動化 ハイパーバイザーインフラストラクチャの前提条件 : Prerequisites for VMware vsphere と NSX VMware vsphere with NSX 仮想 VM の必要要件 : VMware Tools ( カスタムインストール ) - NSX Introspection Driver NSX マネージャー Guest Introspection サービス VMware Network Fabric 13
各 NSX ライセンスで実現できる KSV セキュリティ機能 NSX ライセンスによって 利用できる KSV 機能が異なります 拡散防止型セキュリティの実現には NSX Advanced / Enterprise が必要です ファイルアンチウイルスは NSX for vshield Endpoint でも使用可能 自動隔離 ( マイクロセグメンテーションによる感染 VM のネットワーク隔離 ) の実現には NSX Advanced / Enterprise ライセンスが必要 ネットワーク攻撃防御も同様に NSX Advanced / Enterprise ライセンスが必要 利用できる KSV 機能 NSX for vshield Endpoint ( 無償ライセンス ) NSX Standard NSX Advanced NSX Enterprise ファイルアンチウイルス ( 自動隔離なし ) ファイルアンチウイルス ( 自動隔離あり ) ネットワーク攻撃防御 14
マルウェア検知時の仮想マシン自動隔離 ( マイクロセグメンテーション ) セキュリティタグを利用した感染被害の拡大防止の流れ 保護 VMでウイルスが検知された際に セキュリティタグが付与される 付与されたセキュリティタグと連動して 隔離用 NSXセキュリティポリシーが適用 (NSXセキュリティポリシーにはVMware 分散 FWの遮断ルールを事前定義する ) 隔離用の分散 FWルールが反映し 自動的にVMの隔離まで実施する 感染 VM を自動でネットワーク隔離 15
マルウェア検知時の仮想マシン自動隔離 ( マイクロセグメンテーション ) 16
KSV & VMware NSX: 保護機能のオン / オフポリシー制御 管理サーバー (KSC) のポリシー設定から 各 VM のセキュリティ機能 オン / オフ設定が容易に切り替え可能 vcenter Server から情報取得 有効 無効 KSV 保護対象 VM をワンクリックで選択 ( デフォルトではすべて保護対象 ) 17
KSV & VMware NSX:Secure VM の自動デプロイ NSX サービスのデプロイ設定により Cluster への新規 ESXi 追加時に SVM と NAB を自動的にデプロイ ( オートメーション化 ) オートメーション化により VM の保護に必要なセキュリティ機能の展開 運用工数を削減 Cluster NSX Manager 1 ESXi を Cluster に追加 2 Cluster に追加された ESXi に SVM と NAB を自動展開 18
Kaspersky Security for Virtualization(KSV) による課題解決 KSV Agentless のセキュリティ機能とパフォーマンス性能 19
KSV Agentless によるセキュリティ保護の仕組み Security Virtual Machine ( SVM ) Linux ベースの仮想アプライアンス ( サービス VM) ファイルアンチウイルス機能を担当 各 VM のスキャンオブジェクトを一括でスキャン 負荷が上昇するのは SVM のみとなるため ホスト全体へのパフォーマンス影響が少ない Network Attack Blocker ( NAB ) SVM と同様に仮想アプライアンスとして提供 ネットワーク攻撃防御機能を担当 各 VM のプロトコルベースのネットワーク攻撃検知を実施 メリット : 1. スキャンパフォーマンス最適化 SVM と NAB によるスキャン処理の集中化 2. VMware NSX との連携による 拡散防止型セキュリティ マルウェア検知時に対象 VM を自動的にネットワークから隔離 3. Windows Linux ゲスト OS 対応 両 OS でまったく同様の保護機能が利用可能 4. オフライン VM データのスキャン 停止中の VM データも スキャンが可能 20
Security Virtual Machine (SVM) - ファイルアンチウイルス用仮想アプライアンス - KSV 導入時に展開されるファイルアンチウイルス機能を提供する仮想アプライアンス 保護対象全 VMのスキャンを代理で一括実施 ( スキャン時のVM 負荷をSVMが肩代わり ) 最新の定義データベース保持 共有キャッシュによるスキャン対象ファイルの重複排除 SVM によるファイルアンチウイルス機能は 無償ライセンスの NSX for vshield Endpoint でも利用可能です ( 有償の NSX ライセンスは不要 ) 21
SVM の共有キャッシュ機能 SVM がスキャンファイルとその結果を保持することで ファイルスキャンの重複排除を実現 ファイルキャッシュとその判定結果をSVMに保持 一度スキャンしたオブジェクトをスキップすることで ファイルスキャンタスクの大幅な効率化が可能 ( スキャンの高速化 リソース消費低減 ) 22
Network Attack Blocker(NAB) - ネットワーク攻撃防御用仮想アプライアンス - KSV 導入時に展開されるネットワーク攻撃防御機能 (IPS) を提供する仮想アプライアンス パケットレベルでのネットワーク攻撃をブロック WEBサイトのURL 判定機能 通常のアンチウイルス製品では提供しないLinux OSに対するネットワーク攻撃にも対応 NAB によるネットワーク防御機能は NSX Advanced 以上のライセンスが必須です (NSX for vshield Endpoint や NSX Standard では利用不可 ) 23
クラウドプロテクション ( レピュテーション ) Kaspersky Security Network(KSN) KSNは世界中のユーザーから収集された最新の脅威情報データベース カスペルスキー製品によって保護された仮想マシンは この脅威情報データベースを参照することで ゼロデイ攻撃のような最新の脅威にも対応することが可能 Kaspersky Security Network(KSN) の仕組み 1 カスペルスキーが導入されたコンピューターは不審な挙動を 見せる脅威に関する情報をリアルタイムで KSN に送信 2 カスペルスキーの Automatic Analysis System にて 悪意のある脅威は即座に 緊急検知 DB に追加される 3 ユーザーコンピューターはリアルタイムで KSN 上の 緊急検知 DB やホワイトリスト情報を都度参照し 最新の情報で端末を保護 4 KSN へ登録された脅威情報はカスペルスキーのアナリストが 正確に解析 評価し 定義 DB へ反映 24
KSV & VMware NSX: オンライン オフラインスキャン パワーオフ状態の VM に対するスキャン機能 (NTFS と FAT32 の場合 ) マスター VM やスタンバイ VM に対してもセキュリティ保護が可能に 新機能 : 他社にはないオフライン VM スキャン機能 powered-on & powered-off 25
管理サーバー (KSC) の VM ステータス表示 - vcenter Server 連携 - Agentless 管理サーバー (KSC) は vcenter ServerからVMステータスを取得 各仮想マシン (VM) ごとに下記のステータス表示が可能 - 保護ステータス - NSXセキュリティポリシー適用状態 - VM 名 VMのパス OSタイプ - 定義データベースアップデート日時 - スキャン日時など 26
KSV Agentless の対応仮想プラットフォーム Agentless ハイパーバイザー Linux ゲスト OS に対応保護機能は Windows と同様 VDI アプリケーション サーバー仮想化 デスクトップ仮想化 27
KSV と競合他社製品の機能比較 28
KSV Agentless と競合他社製品 Agentless の比較 機能 KSV Agentless T 社 Agentless ファイルアンチウイルス メールアンチウイルス ウェブアンチウイルス (URL) (URL) メッセンジャーアンチウイルス ファイアウォール クラウドレピュテーション ネットワーク攻撃防御 振る舞い検知 (HIPS 以外 ) 追加オプション (Virtual Patch) KSV の優位性 KSV Agentlessは 競合他社が備える機能を全て実装 他社製品は ネットワーク攻撃防御利用に別費用で追加オプションが必要 (KSVは標準搭載) 他社製品は LinuxゲストOS 未対応 他社製品は オフラインVMスキャン機能なし 脆弱性攻撃ブロック アプリケーション権限コントロール アプリケーション起動コントロール デバイスコントロール ウェブコントロール オフライン VM スキャン Linux 対応 29
KSV と競合他社仮想向け製品の機能比較 機能 KSV Light Agent KSV Agentless T 社 Agent/Combine T 社 Agentless M 社 ファイルアンチウイルス メールアンチウイルス ウェブアンチウイルス (URL) (URL) (URL) メッセンジャーアンチウイルス ファイアウォール クラウドレピュテーション ネットワーク攻撃防御 追加オプション (Virtual Patch) 追加オプション (Virtual Patch) 振る舞い検知 (HIPS 以外 ) ( 挙動監視 ロールバック機能なし ) 脆弱性攻撃ブロック アプリケーション権限コントロール アプリケーション起動コントロール デバイスコントロール ウェブコントロール オフラインVMスキャン Linux 対応 Windows クライアントOS 保護機能で比較した結果です ( カスペルスキー調べ ) 30
付録 : 競合他社製品価格比較 31
競合他社製品価格比較 他社製品のフル機能ライセンスと比較した製品価格 ( 物理サーバー 1 台あたりのモデルケース ) サーバー機種 2U の標準的なラックマウントサーバー Intel Xeon Processor E5-2650 v4 (30M Cache, 2.20 GHz) 搭載物理 CPU 数 2 個 (1CPU あたりの物理コア数 12) T 社製品 単価 630,000 x 2(CPU) = 1,260,000 KSV LA Kaspersky Security for Virtualization 単価 160,000 x 2(CPU) = 320,000 他社製品からの乗り換えはここからさらに半額でご提供 32
他社製品の価格表 - 非常に複雑なライセンス体系 - お客様要件に応じて 必要オプションを適切に選択することが必要 製品に精通していないと どのオプションにどの機能が含まれているかの判断が困難 33
KSV 製品の価格表 - シンプルなライセンス体系 - ライセンスにフル機能が含まれるため 別途オプション考慮は不要 また Agentless と Light Agent ライセンスは共通のため 購入後の選択も自由 34
参考 : ライセンス数の計算 物理 CPU 単位でのライセンス体系 VM 数は関係なし 物理 CPU 数で計算する 図のように 2CPU 搭載の物理サーバーであれば ライセンス数は 2 となる ( ) 物理サーバー上で稼働する仮想マシン (VM) は何台使っていただいてもライセンス上は問題なし CPU 数が 2 なので 必要ライセンス数は 2 となる 物理 CPU 数で計算 1 2 VM 数に依存しない点がメリット ハードウェア ( 物理サーバー ) 追加ごとにライセンスが必要なイメージなので管理しやすい 35 12 コアまでを 1 物理 CPU と算出します 詳しくはお問い合わせください
付録 : プレミアサポートのご案内 36
プレミアサポート ( 有償 ) 通常サポートはライセンス費用に含まれます プレミアサポート (MSA) は 24 時間 365 日サポートなど 上位サポートニーズに対応します Maintenance Service Agreement(MSA) メニュー 37
THANK YOU お問い合わせ先 : 株式会社カスペルスキー 101-0021 東京都千代田区外神田 3-12-8 住友不動産秋葉原ビル 7F http://www.kaspersky.co.jp Copyright 2017 Kaspersky Lab 無断複写 転載を禁じます カスペルスキー Kaspersky は Kaspersky Lab の商標または登録商標です