新たに名称変更(旧Kaspersky Security for Virtualization)して登場したKHCS(Kaspersky Hybrid Cloud Security)のセットアップについて説明していきたい。勤務先で検証マシンとか多数投入しているハイパーバイザーはNutanix AHV。そのため、カスペルスキーの管理サーバ類もAHV上になり、残念ながらカスペルスキーのドキュメント公開一覧には無く、サポートに頼りながら手探り状態でそれなりに時間がかかった。
まず、KHCSについて改めて確認。
●Kaspersky Hybrid Cloud Security製品紹介(カスペルスキー)
上記資料からの引用ですが、P.3から。今回想定しているのは、役割=仮想環境向けセキュリティ、使用するアプリケーション=KSVLA(Kaspersky Security for Virtualization Light Agent)になる。エージェントレスの場合はESXiオンリーだったり、機能制約があるため、検証対象外でもある。
P.30に、アーキテクチャーが書かれている。集中管理=KSC、統合管理サーバで管理される。各VM(仮想マシン)は、SVM(Secure Virtual Machine)と呼ばれるエンジンとの連携で利用となる。ここで大きいのが、定義データベース(定義ファイル)は、VM毎に持たず、SVMを参照してファイルアンチウイルスをスキャンする、といったところだ。各VMには、その他、自分自身を守るファイアウォールだの、脆弱性攻撃ブロックだの、Webアンチウルスだの、そういったエンジンが搭載されているため、「light」といいながら、それなりに複数のエンジンが搭載している、ということになる。SVMがこけたら、重要な通常のウイルス駆除ができなくなるため、SVMの冗長性も必要になってくるということ。
この、Light AgentであるKSVLAについては、VDIで利用されるフルクローン、リンククローン、インスタントクローンをサポートしており、VDIセキュリティとしても、今後重要なポジションを占めてくると考えられる。
今回の資料では、Nutanix上に、このSVMをアップロードして展開。KSC上で管理ができる、といったところを紹介していきたい。なお、利用にあたって、仮想インフラストラクチャの要件がある。AOS 5.10 以降で、Kaspersky Security 5.1.1 アップデートでのみサポートされた。また、接続するVLAN先がDHCP環境である必要がある。後で、rootパスワード設定後、固定IPアドレスに変更ができる。
まず、Prismのバージョンの確認から。
Prismにログインする。
これがNutanix Prismと呼ばれるトップ画面。ここで健全性を見たり、リソース状態がわかる。
右上の歯車をクリックする。
設定画面から、全般メニューにある「ソフトウエアアップグレード」をクリックすると、各バージョンがわかる。
今回は、AOSのバージョン。ホントぎりぎりだった。5.10.9 LTSバージョンで対応する。
Kaspersky Security for Virtualization 5.x Light Agentに「プログラム」メニューにあるKVM, Proxmox VE, R-Virtualization と HUAWEI FusionCompute CNA パッケージ: ksvla-svm_kvm_proxmox-ve_skala-r_huawei-fusionsphere_5.1.44.295_mlg.zip [2135.31 MB]を落とし展開すると、「ksvla-svm_kvm_proxmox-ve_skala-r_huawei-fusionsphere_5.1.44.295_mlg.qcow2」ファイルがある。
Nutanixはどれだろう?と悩ましい。KVMベースだから、KVM〜。NUTANIXの文言も追加して欲しい。
展開したqcow2ファイル、これは、KVMのディスクイメージファイル。HUAWEIもKVMベースなのか…と判明したりする。
XMLファイルは、後で認証する際に利用する。
先ほどのPRISMの設定画面から「イメージ設定」をクリック。そこから、イメージファイルをアップロードすることができる。
Image SourceのUpload a file を選択し、ファイルを選択ボタンから、先ほど展開したqcow2ファイルを開き、イメージファイルの概要を簡単に書いて、保存をクリックする。
アップロードが開始された。
しばらく待機。
10Gスイッチのため、3分半でアップロードが完了した。
続いて、アップロードしたイメージファイルを仮想マシンとして展開する。
Prismホーム画面に戻り、仮想マシン作成に切り替えます。右上にある、仮想マシンを作成ボタンをクリック。
どのような仮想マシン(VM)を作るか、ここで設定情報を入れる。
オーバースペックになりがちかな?CPUやメモリーはいくらでも変更ができるので、2 vCPU、2 Per vCPU、メモリ8GBで設定。
ディスクの追加でここが重要。
イメージサービスから展開するため、オペレーション=イメージサービスからクローン、を選択する。
そして、先ほどアップロードしたイメージファイルを選択する。ここでは、「KHCS 5.1.44.295」がイメージファイル名にしていたので、その名称での選択となっている。
DISKが作成されました。30GBなんですね。
続いてどこに接続するか、ネットワークの設定を行います。Add New NICをクリックします。
ここでは、KSCとの通信を考慮に、同じVLANセグメントを選んでいる。
仮想マシン起動時にネットワークカードが有効になって欲しいため、ネットワークの接続状態=接続済み、にしておいて、追加をクリック。
追加され、Saveをクリック。
イメージの展開が行われます。
一瞬で完了した。1秒未満とは…。
続いて、イメージからのクローン展開が完了した仮想マシンKHCSを起動する。
Nutanixの欠点は、Delete(削除)とUpdate(編集)が隣り合わせとなっており、個人的に苦い経験がある。
該当VMをクリックし、Power onで電源オン!
電源オン後は、どのホストで起動しているか確認しておこう。
これは、後々必要になってくる。ここでは、AHV01で稼働している。
コンソールで作業できる。Launch Consoleをクリック。
Linuxだった…。
起動後、rootのパスワード等の設定は、KSCで一旦行う必要がある。起動するまで待機。
KSCコンソールに戻り、管理サーバーをクリック。製品の導入メニューにある「Kaspersky Security for virtualization 5.1.1 Light Agentを管理する」というリンクメニューをクリック。
SVM管理ウィザード画面で、SVMの管理をクリック
AHV01というホストにKHCS仮想マシンが起動しているため、AHV01を選択し次へをクリック
イメージ記入ファイルのところで、先ほどzipファイルを展開した際に展開されたファイルの1つにXMLファイルがあったと思うが、それを選択し、検証をクリック。
SVMイメージの完全性チェックで「有効」が出れば成功。
今回、SVMは1つなので、1つが表示されている。
SVM名は、ハイフンとの記号が入っているとエラーになる。数字は、ケースバイケースで成功した時もあったが、英字入力であれば問題なかった。英字で調整していこう。ネットワーク名と種別では、管理対象外とどうしても表示される。ここは、仮想マシン作成時に設定したVLANのネットワーク名を選んでおこう。
続いて、SVMネットワーク設定の指定。勤務先のNutanixの場合は固定IPで初期設定ができなかっため、DHCP推奨ということもあり、ここでの編集ができなかった。とはいっても、サーバをDHCPで管理はしたくないと思うので、これはあとで。
KSCのアドレスとかがデフォルトで表示されている。ここは、特に設定変更しなくて良い。
は〜い!ここ重要!
klconfigアカウントは、KSC上でSVMを修正したりするために必要なパスワード。
ルートアカウントは、SVMのルートパスワード。IPの変更もこのパスワードで利用するので、とっても重要。
これらが忘れると、SVMの作り直しになる。
(実は、コレ、パスワードを忘れて作り直しをしている)
ハイパーバイザーのホスト名はAHV01に、SVM名がKHCS1としている。
後々のスクリーンショットで、SVMがKHCSになっていたりするのは、先ほど説明したパスワード忘れが原因。
展開されていく。
多少時間がかかった。でも数分程度なのかな?仮想基盤の環境に依存すると思う。
SVMの導入が完了!
続いて、SVMのIP変更!といきたいところだが、文書が長くなったので、一旦ここで切りたいと思う。
この資料では、KHCS(Kaspersky Hybrid Cloud Security)用 Protection Serverである、SVM(Secure Virtual Machine)を仮想基盤Nutanixにアップロードしてイメージ展開をするという内容だった。その際、DHCPで取得されたIPをKSC(Kaspersky Security Center)側で管理するので、仮想マシン(VM)は、DHCP環境のセグメントで作成した方が良い、という結果だった。また、SVM名にハイフンとかの記号やスペースが使えなかったので、英字で対応した方が良い、ということだった。
次回は、SVMのDHCPを固定IPに変更するとかといった、コマンドライン操作でのスクショをばしばし乗っけていこうと思う。