Bitdefenderは2017年からNutanix社およびCitrix社と提携を続けていますが、それは単なる認定制度の範囲にとどまらず、エンジニア交流によってAPIや全く新しいしくみを相互に開発するところまで行われています。
これにより他のマルウェア対策ベンダーでは真似のできない、新しい時代に適応したマルウェア対策の運用が可能になり、2018年頃から欧米や米国において先進的な取り組み事例が次々と生まれています。
本投稿ではBitdefenderの法人向けソリューションであるGravityZoneを使ったこのユニークな構成例を紹介しています。
GravityZoneの管理ツールとなるコンソールはクラウドでも提供されていますが、APIを介しての密接な連携メリットを受けるためには、オンプレミスで管理用の仮想アプライアンス(GZ管理VA)を建てる必要があります。
これは各仮想ファイルフォーマットで提供されているので(VMDK、XVA)、すぐにダウンロード、設置することができます。また分散配置によるスケールアウトが可能でGZ管理VAを何台配置しようが課金されません。
そしてデータセンターの運用者に人気のあるセキュリティサーバ(SVA)があります。これは運用者を悩ますマルウェア対策導入による消費リソースの増大、システムレスポンス低下を解消するものです。
重たい原因となるのは、定期的におこなわれる脅威情報DBのアップデート、またスキャン照合処理です。これらを専用の仮想アプライアンス(SVA)で集中して行うことで、VMあたりのCPUおよびメモリ、ストレージ消費を大幅に削減することができます(半分~1/4)。こちらも分散配置が可能で課金されません。
①GravityZone+Nutanix AHV(+パッチ管理)
一番シンプルな構造です。マルウェア対策をしっかり施しつつも、SVAによりVMあたりのリソース消費を抑えられます。つまりシステム全体でのリソース量はそのままで、稼働できるVMを増やすことができます。またオプションでゲストVMのWindowsOSや主要サードパーティアプリのパッチ適用状況を把握、リモート適用できるしくみも追加インストールせずに、同じ管理コンソールに統合できます。
②GravityZone+NAS(ネットワークファイルストレージ)
SVAはICAPも話せます。これにより各社が提供しているファイルストレージと連携して、やりとりされるファイルをオンアクセスで検査できます。このケースでもSVAは複数配置、スケールアウトできます。
③GravityZone+Nutanix AHV+Citrix XenDesktop
VDIで人気の組み合わせです。①と同様パッチ管理のしくみも一緒に導入されています。
④GravityZone+Nutanixクラスタ+Citrix Hypervisor+Citrix XenDesktop
この構成の中心はCitrix Hypervisorが持つHVI(HyperVisor Introspection)です。これはゼロディ攻撃が利用するカーネルレベルでの脆弱性でさえも検知できる革新的技術です。ゲストVMのメモリ内の動きをハイパバイザ内で、SVAからスキャンすることで、従来のVMにインストールしてのマルウェア対策ではなしえなかったレベルで攻撃手法を暴き出します。
これだけを利用する場合には、完全なエージェントレス構成ですが、VMレベルでファイルやWEBスキャンなどをする場合には①~③でみたようなエージェント(ゲストツール)の導入が必要です。GravityZoneの多重防御層の最後の砦がこのHVI防御層なのです。
- IEのゼロディ脆弱性(CVE-2020-0674)のパッチ未適用状態でその攻撃をブロック
- BlueKeepをゼロディ防御するHVI(Hypervisor Introspection
- Spectre SWAPGSの攻撃例とHyperVisor Introspection (HVI)による0Dayブロック
そしてHVIはハイパーバイザ内で各VMのメモリ操作の動きを知ることができるので、それ検査自体においてはVMへのエージェントやドライバ類の導入は全く不要な、エージェントレス構造となります。
ラベル:Nutanix HyperVisor Introspection (HVI)
Webサイト:Nutanix Citrix