はじめに

本ブログでは、VMware NSX 4.0をベースに、ライセンスやエディションごとに利用可能な機能を紹介しています。VMware NSXは提供する機能の豊富さも魅力の一つですが、今回は、セキュリティ機能に注目して解説します。

VMware NSXのこれまで

本ブログの対象であるVMware NSX 4.0は、2022/8/2にリリースされました。VMware NSX 4.0より製品名称に変更があり、これまでの「NSX-T」から「NSX」へ名称のみが変更されています。

ライセンスについても、これまでの「NSXライセンス」に加え、「NSX Securityライセンス」が提供されています。NSX Securityライセンスは、2021/12/16にリリースされたVMware NSX-T Data Center 3.2.0に合わせて新規リリースされました。

VMware NSX Data Center for vSphereは、2022/1/16に終息しています。

参考：Product Lifecycle Matrix (vmware.com)

　

ライセンスとエディションの種類

VMware NSX 4.0を大別すると「NSXライセンス」と「NSX Securityライセンス」の2種類に分けられます。NSXライセンスは4エディション、NSX Securityライセンスは7エディションあり、それぞれの呼称は以下となります。

NSXライセンス

• NSX Professional
• NSX Advanced
• NSX Enterprise Plus
• NSX Remote Office Brunch Office（ROBO）

NSX Securityライセンス

• NSX Distributed Firewall
• NSX Distributed Firewall with Threat Prevention
• NSX Distributed Firewall with Advanced Threat Prevention
• NSX Distributed Firewall for Baremetal Servers
• NSX Gateway Firewall
• NSX Gateway Firewall with Threat Prevention
• NSX Gateway Firewall with Advanced Threat Prevention

本ブログではNSX ROBOとNSX Distributed Firewall for Baremetal Serversについては割愛します。
参考：NSX Editions (vmware.com)

　

エディションごとに利用可能なセキュリティ機能

VMware NSXは単一のダウンロードイメージとして提供されており、特定の機能を有効化するにはNSX Managerへライセンスキーの適用が必要です。次の表はライセンスエディションごとに利用可能な機能を示しています。

参考：NSX Features (vmware.com)

表に記載のある「Subscription Only」は、期限のあるNSXライセンスでのみ機能が利用できることを示しています。期限のあるNSXライセンスとしては、Coreライセンスが該当します。対して、Perpetualライセンスは期限が設けられていないためSubscription Onlyに該当しません。また、NSX SecurityライセンスについてはSubscription形態のみが提供されているため、Subscription Onlyの注意書きがありません。

一覧表に記載のとおり、NSX 4.0の新機能である「悪意あるIPアドレスのフィルタリング」は、Subscription OnlyのためPerpetualライセンスでは使用できないことにご注意ください。また、セキュリティ機能ではないため上記一覧表に記載していませんが、DPU-based Acceleration for NSXによるDPUオフロードについてもSubscription Onlyとなります。
参考：VMware Explore 2022 レポート - Security and Networking｜技術ブログ｜C&S ENGINEER VOICE (licensecounter.jp)

　

NSX Application Platform（NAPP）

NAPPは以下に示す機能を利用するために必要なマイクロサービスプラットフォームです。NAPPはNSX 3.2以降で利用できます。

これまで仮想アプライアンスをデプロイしていたNSX Intelligenceは、NSX 3.2以降、NAPPでホストされるコンテナとして動作します。NSX Intelligence以外にも、NSX Network Detection and Response、NSX マルウェア防止、NSX MetricsはNAPPでホストされるマイクロサービス（複数のコンテナ群）として動作します。NSX TLS Inspectionの動作自体にNAPPは必要ないですが、NSX GUIにおける「脅威イベントの監視」で「TLS検査」の情報を表示するには、NAPPのNSX Metricsが必要となるためご注意ください。

NAPPを展開するために必要なKubernetes環境はNSXによって自動作成されないため、管理者が別途用意する必要があります。このKubernetes環境は、vSphere with Tanzuで構成されたTanzu Kubernetes Cluster、またはOSSのUpstream Kubernetesを構築する必要がある点にご注意ください。
参考：NSX Application Platform について (vmware.com)

　

NSX Network Detection and Response（NSX NDR）

NSX NDRはネットワークを包括的に可視化し、MITRE ATT&CKフレームワークで示されているテクニックからネットワーク環境を防御するために、NSXで利用可能な以下の機能からデータを収集します。

NSX NDRはNSX Distributed IDS/IPS、NSX マルウェア防止、NSX Intelligenceをデータソースとするため、機能を最大限活用するためには、これらの機能を利用している必要があります。NSX IntelligenceをホストするにはNAPPのフォームファクターがAdvancedである必要があるため、多くのリソースが要求される点にご注意ください。
参考：NSX Application Platform のシステム要件 (vmware.com)

　

ログの集中管理

NSXライセンス、またはNSX SecurityライセンスのいずれのエディションであってもVMware Aria Operations for Logs（旧称 vRealize Log Insight）を無償で利用できます。

例えば、VMware NSXの分散ファイアウォールやゲートウェイファイアウォールで作成されるログは、ESXiやNSX Edgeのローカルファイルに出力されますが、セキュリティインシデント発生時にこのようにログが分散していると調査が非効率になります。VMware Aria Operations for Logsを利用し、あらかじめSyslog転送しておけば有事の際においても比較的効率良く調査を行えるため、ログを集中管理する運用が求められます。
参考：VMware Aria Operations for Logs（旧称 vRealize Log Insight）：ログ分析ツール：VMware | JP

　

サードパーティ連携

NSX-Vの頃より問い合わせが多いトレンドマイクロ社のDeep Security Virtual Appliance（DSVA）との連携を例に挙げると、VMware NSXとのサードパーティ連携において、「ゲストイントロスペクション」と「ネットワークイントロスペクション」のいずれの機能も必要となります。そのため、VMware NSXとDSVAの連携では、NSX Advanced または、NSX Enterprise Plusのライセンスを購入する必要があります。

サードパーティ連携で必要な「ゲストイントロスペクション」や「ネットワークイントロスペクション」の機能は、NSXライセンスでのみ利用可能で、NSX Securityライセンスでは利用できない点にご注意ください。
参考：NSX Features (vmware.com)

　

まとめ

今回注目したVMware NSXのセキュリティ機能は、仮想化プラットフォームを持つVMwareだからこそ成せる実装方式により、独自のポジショニングを築いています。これらの強みと、VMware Explore 2022で発表されたLateral Securityの文脈も相まって、今後も強力な推進が予想されるVMware NSXですが、一方で、その変化の速さに追いつけていない方も少なくないと感じています。

そこで、数回に分けて、VMware NSXのセキュリティ機能についてブログ記事投稿を予定しています。投稿の折にはぜひご一読いただければと思います。