前回は「Trend Micro Deep Security」を用いた保護方法とメリットについて紹介した。今回は、それらの保護方法に関する技術的な仕組みを解説したい。
仮想マシンごとのウイルス対策ソフトが不要
はじめにDeep Securityのウイルス対策機能について解説しよう。
Deep Securityのウイルス対策機能は、VMwareの「vSphere 4.1」上で動作する機能である。VMwareのVMsafeテクノロジと連携することで、それぞれの仮想マシンにウイルス対策のエージェントをインストール、アップデートを行わない場合でも、ウイルス対策を実現する。
VMsafeテクノロジは、VMwareからベンダーに提供されるAPIで、仮想マシン上のI/Oを「VMsafe API」を通してバーチャルアプライアンスが仮想マシンを参照する技術だ。VMsafeテクノロジを利用することで、仮想マシン上に存在する不正プログラムをバーチャルアプライアンスの検索エンジンで検出できる。Deep Securityのバーチャルアプライアンスを利用するには以下の手順が必要になる。
- ESX上に、仮想ネットワークパケットをフックするドライバである「フィルタードライバ」をインストールする
- 仮想プラットフォームの1つのインスタンスとして「Deep Security Virtual Appliance」をインストールする
- 仮想マシンごとに「vShield Endpoint」をインストールする(VMwareから別途購入が必要)
Deep Security Virtual Applianceによるウイルス対策は、リソースの効率化がメリットだ。たとえば、従来のエージェント型ウイルス対策の場合、それぞれの仮想マシンにウイルス対策ソフトをインストールすると、ウイルス対策ソフトが使用するメモリやCPUリソースを仮想マシンの台数分消費する。
Deep Securityの場合は、バーチャルアプライアンス内の検索エンジンやパターンファイルを使って仮想マシンのウイルス検出と対象ファイルの削除を行うため、結果としてトータルで消費するメモリやCPUリソースが少なくて済む。その結果、より多くの仮想マシンを1つのプラットフォーム上に稼働させることができ、“サーバの集約率の向上=コスト削減”へとつながるのである。
ハイパーバイザ層の通信を検知
次にDeep Security Virtual Applianceによる仮想マシンへの不正な通信の検知方法について解説しよう。これは、前述の技術と同じく、Deep Security Virtual Applianceを用いたvSphere 4.1上で動作する機能である。
