今回は、
「NSXでのマイセグについて その3」
というタイトルでお送りします。
よくある構成で、
Trend Micro社のDeep Securityが検出したものをGuest Introspectionと連携して、分散ファイアウォールによって隔離する構成です。
この構成、昔、「自動隔離はするけれど、、、自動的に解除はしてくれない」と
聞いたことがあったんですが、
最近、、、
運用されている環境で「隔離された仮想マシンの中から誰が隔離を解除したのか判らない・・仮想マシン」というものが、
発生していまして、、、、。
いつもながらに、、、
「??????」と、
首をかしげながら、はてなマークをたくさん放出してたところ
・・・・・・
・・・
・・・判りました。
Deep Securityの方でフルスキャン掛けると
隔離が解除されるようです。。。
これは、、、『あるべき姿』ではあるわけなんですけどねー。。。
というわけで、
他の方もブログ等で紹介していらっしゃる仕組みを改めて説明しますが、
まず、隔離の仕組みとして順番に。
セキュリティソフトウェアの方で「変ナモノ」(各ソフトウェアで検出できる・・・「アレ」ですね。。。)を検出。
その情報を基に、VMwareのNSXで検出された該当仮想マシンに対して(問題ありますよーという。。。)タグをつける。
上記のタグがつけられた仮想マシンは、(NSXの分散ファイアウォールのポリシー設定で通信不可なファイアウォールポリシーを設定されているために)自動的にネットワーク通信を行えなくなる。
という3段階の流れで、遮断を行うわけですね。
そこから、仮想マシンをネットワークに復帰させるためには、
「タグを外さないと通信できない」という仕組みなのを
ご理解いただいた上で。。。
元の話に戻りまして。
「セキュリティソフトウェア側でスキャン」して問題が無かったら、、、
自動的に(問題ありますよーという。。。)タグも外してくれるものが、、
最近はありそうです。。。
以前は駄目だった(と聞いていた)・・・から、
今もダメだと思ってましたが、大丈夫になっていそうだという話ではあります。
が、、、この辺もし(バージョンで関係してればその辺もぜひ・・・)お詳しい方見てらっしゃれば、
ご助言賜れれば助かります!!