KSVLA

KHCS – Kaspersky Hybrid Cloud Security 用 Protection Server SVM をセットアップする(1)

新たに名称変更(旧Kaspersky Security for Virtualization)して登場したKHCS(Kaspersky Hybrid Cloud Security)のセットアップについて説明していきたい。勤務先で検証マシンとか多数投入しているハイパーバイザーはNutanix AHV。そのため、カスペルスキーの管理サーバ類もAHV上になり、残念ながらカスペルスキーのドキュメント公開一覧には無く、サポートに頼りながら手探り状態でそれなりに時間がかかった。

まず、KHCSについて改めて確認。
Kaspersky Hybrid Cloud Security製品紹介(カスペルスキー)

上記資料からの引用ですが、P.3から。今回想定しているのは、役割=仮想環境向けセキュリティ、使用するアプリケーション=KSVLA(Kaspersky Security for Virtualization Light Agent)になる。エージェントレスの場合はESXiオンリーだったり、機能制約があるため、検証対象外でもある。

KHCS

P.30に、アーキテクチャーが書かれている。集中管理=KSC、統合管理サーバで管理される。各VM(仮想マシン)は、SVM(Secure Virtual Machine)と呼ばれるエンジンとの連携で利用となる。ここで大きいのが、定義データベース(定義ファイル)は、VM毎に持たず、SVMを参照してファイルアンチウイルスをスキャンする、といったところだ。各VMには、その他、自分自身を守るファイアウォールだの、脆弱性攻撃ブロックだの、Webアンチウルスだの、そういったエンジンが搭載されているため、「light」といいながら、それなりに複数のエンジンが搭載している、ということになる。SVMがこけたら、重要な通常のウイルス駆除ができなくなるため、SVMの冗長性も必要になってくるということ。

KSVLA

 

この、Light AgentであるKSVLAについては、VDIで利用されるフルクローン、リンククローン、インスタントクローンをサポートしており、VDIセキュリティとしても、今後重要なポジションを占めてくると考えられる。

 

今回の資料では、Nutanix上に、このSVMをアップロードして展開。KSC上で管理ができる、といったところを紹介していきたい。なお、利用にあたって、仮想インフラストラクチャの要件がある。AOS 5.10 以降で、Kaspersky Security 5.1.1 アップデートでのみサポートされた。また、接続するVLAN先がDHCP環境である必要がある。後で、rootパスワード設定後、固定IPアドレスに変更ができる。

まず、Prismのバージョンの確認から。
Prismにログインする。

Prism

これがNutanix Prismと呼ばれるトップ画面。ここで健全性を見たり、リソース状態がわかる。
右上の歯車をクリックする。

Prism

設定画面から、全般メニューにある「ソフトウエアアップグレード」をクリックすると、各バージョンがわかる。
今回は、AOSのバージョン。ホントぎりぎりだった。5.10.9 LTSバージョンで対応する。

Prism

Kaspersky Security for Virtualization 5.x Light Agentに「プログラム」メニューにあるKVM, Proxmox VE, R-Virtualization と HUAWEI FusionCompute CNA パッケージ: ksvla-svm_kvm_proxmox-ve_skala-r_huawei-fusionsphere_5.1.44.295_mlg.zip [2135.31 MB]を落とし展開すると、「ksvla-svm_kvm_proxmox-ve_skala-r_huawei-fusionsphere_5.1.44.295_mlg.qcow2」ファイルがある。

Nutanixはどれだろう?と悩ましい。KVMベースだから、KVM〜。NUTANIXの文言も追加して欲しい。

KSVLA

展開したqcow2ファイル、これは、KVMのディスクイメージファイル。HUAWEIもKVMベースなのか…と判明したりする。
XMLファイルは、後で認証する際に利用する。


先ほどのPRISMの設定画面から「イメージ設定」をクリック。そこから、イメージファイルをアップロードすることができる。

prism

Image SourceのUpload a file を選択し、ファイルを選択ボタンから、先ほど展開したqcow2ファイルを開き、イメージファイルの概要を簡単に書いて、保存をクリックする。

prism

アップロードが開始された。

Prism

しばらく待機。

Prism

10Gスイッチのため、3分半でアップロードが完了した。

Prism

 

続いて、アップロードしたイメージファイルを仮想マシンとして展開する。
Prismホーム画面に戻り、仮想マシン作成に切り替えます。右上にある、仮想マシンを作成ボタンをクリック。

Prism

どのような仮想マシン(VM)を作るか、ここで設定情報を入れる。
オーバースペックになりがちかな?CPUやメモリーはいくらでも変更ができるので、2 vCPU、2 Per vCPU、メモリ8GBで設定。

Prism

ディスクの追加でここが重要。
イメージサービスから展開するため、オペレーション=イメージサービスからクローン、を選択する。
そして、先ほどアップロードしたイメージファイルを選択する。ここでは、「KHCS 5.1.44.295」がイメージファイル名にしていたので、その名称での選択となっている。

prism

DISKが作成されました。30GBなんですね。
続いてどこに接続するか、ネットワークの設定を行います。Add New NICをクリックします。

prism

ここでは、KSCとの通信を考慮に、同じVLANセグメントを選んでいる。
仮想マシン起動時にネットワークカードが有効になって欲しいため、ネットワークの接続状態=接続済み、にしておいて、追加をクリック。

Prism

追加され、Saveをクリック。

Prism

イメージの展開が行われます。

Prism

一瞬で完了した。1秒未満とは…。

Prism

続いて、イメージからのクローン展開が完了した仮想マシンKHCSを起動する。
Nutanixの欠点は、Delete(削除)とUpdate(編集)が隣り合わせとなっており、個人的に苦い経験がある。
該当VMをクリックし、Power onで電源オン!

 

Prism

電源オン後は、どのホストで起動しているか確認しておこう。
これは、後々必要になってくる。ここでは、AHV01で稼働している。

Prism

コンソールで作業できる。Launch Consoleをクリック。

Prism

Linuxだった…。
起動後、rootのパスワード等の設定は、KSCで一旦行う必要がある。起動するまで待機。

Prism

 

KSCコンソールに戻り、管理サーバーをクリック。製品の導入メニューにある「Kaspersky Security for virtualization 5.1.1 Light Agentを管理する」というリンクメニューをクリック。

KSC

SVM管理ウィザード画面で、SVMの管理をクリック

KSC

AHV01というホストにKHCS仮想マシンが起動しているため、AHV01を選択し次へをクリック

KSC

イメージ記入ファイルのところで、先ほどzipファイルを展開した際に展開されたファイルの1つにXMLファイルがあったと思うが、それを選択し、検証をクリック。

KSC

SVMイメージの完全性チェックで「有効」が出れば成功。

KSC

今回、SVMは1つなので、1つが表示されている。
SVM名は、ハイフンとの記号が入っているとエラーになる。数字は、ケースバイケースで成功した時もあったが、英字入力であれば問題なかった。英字で調整していこう。ネットワーク名と種別では、管理対象外とどうしても表示される。ここは、仮想マシン作成時に設定したVLANのネットワーク名を選んでおこう。

KSC

続いて、SVMネットワーク設定の指定。勤務先のNutanixの場合は固定IPで初期設定ができなかっため、DHCP推奨ということもあり、ここでの編集ができなかった。とはいっても、サーバをDHCPで管理はしたくないと思うので、これはあとで。

KSC

KSCのアドレスとかがデフォルトで表示されている。ここは、特に設定変更しなくて良い。

KSC

は〜い!ここ重要!
klconfigアカウントは、KSC上でSVMを修正したりするために必要なパスワード。
ルートアカウントは、SVMのルートパスワード。IPの変更もこのパスワードで利用するので、とっても重要。
これらが忘れると、SVMの作り直しになる。
(実は、コレ、パスワードを忘れて作り直しをしている)

KSC

ハイパーバイザーのホスト名はAHV01に、SVM名がKHCS1としている。
後々のスクリーンショットで、SVMがKHCSになっていたりするのは、先ほど説明したパスワード忘れが原因。

KSC

展開されていく。

KSC

多少時間がかかった。でも数分程度なのかな?仮想基盤の環境に依存すると思う。

KSC

SVMの導入が完了!

KSC

 

続いて、SVMのIP変更!といきたいところだが、文書が長くなったので、一旦ここで切りたいと思う。

この資料では、KHCS(Kaspersky Hybrid Cloud Security)用 Protection Serverである、SVM(Secure Virtual Machine)を仮想基盤Nutanixにアップロードしてイメージ展開をするという内容だった。その際、DHCPで取得されたIPをKSC(Kaspersky Security Center)側で管理するので、仮想マシン(VM)は、DHCP環境のセグメントで作成した方が良い、という結果だった。また、SVM名にハイフンとかの記号やスペースが使えなかったので、英字で対応した方が良い、ということだった。

次回は、SVMのDHCPを固定IPに変更するとかといった、コマンドライン操作でのスクショをばしばし乗っけていこうと思う。

 

KSVLA
最新情報をチェックしよう!
>NISHI3.com

NISHI3.com

兄弟サイトで膨大な情報を公開しております。その情報の整理を含めた、新たな情報発信として、情シスの方々にお力添えができればいいなぁ、と思ったサイトです。

%d人のブロガーが「いいね」をつけました。