VMwareな日々

Blog移管しました 新URLはこちら https://lab8010.com/

ゲスト イントロスペクションのライセンス まとめ(NSX for vShield Endpointについて)

NSXには無償版ライセンスがあるのか?”

NSXと連携できるアンチウィルスの機能は無償?”

と、最近ちらほら質問されることがあります。

 

この点について今回は順を追って説明をしたいと思います。

 

【本質問に至る背景】

VMware NSXがデプロイされた環境において、”ゲスト イントロスペクション(以下GI)”というエージェントレス セキュリティ機能を利用される環境があります。

ãvShieldãã®ç»åæ¤ç´¢çµæf:id:instructor8010:20180528223746p:plain

数百台、数千台規模で管理される仮想マシン環境において、全台の仮想マシン内のセキュリティアプリケーションの管理をするのは大変困難です。

セキュリティ機能を特別なVMとして実装し、それによりハイパーバイザー上の仮想マシンの保護を行う考え方が”エージェントレス セキュリティ”です。

ゲスト イントロスペクションの詳細説明はこちらのリンクを参照ください。

 

このGIという機能は、これまで存在していた"vShield"という機能がベースであり、

旧vShieldのあり方については本記事寄稿時点とリリース当初とでは異なります。

  • 本記事機構時点:vSphereに付属する機能である
  • リリース当初:vCloud Networking and Security(以下vCNS)に付属する機能である

VMware社は、vCNSの販売終了をきっかけとし、このGIという機能の大本となる"vShield Endpoint”という機能のあり方を上記のように変更しています。

f:id:instructor8010:20180528225504p:plain
※次のリンク内より抜粋 https://kb.vmware.com/s/article/2146576

 

さらにですが、このGIを管理するためには、"VMware NSX"が必要となります。

f:id:instructor8010:20180528225943p:plain

 

これらをサマライズすると次の通りです。

  • GIの大本となる機能はvShieldと呼ばれる機能である(あった)
  • vShieldは現在はvSphere Essentials Plus以上に含まれている機能である
  • GIを実装するには、”NSX(6.2.4以降)"が必要である
  • ここで言う”NSX"が必要=NSX Managerが必要、ということである

これらの点を受け、”GIを含むNSXは無償で利用できるのか?”という解釈に至るわけです。

あくまでもGI自体はサード パーティ パートナーのセキュリティ ソリューションと連携するためのインフラであり、別途サード パーティー パートナーの製品ライセンスは必要となります。(それ自体だけでアンチウィルスなどのセキュリティを提供するわけではありません)

 

【結論】

VMware NSXにはライセンス エディションは4段階存在している。

そのうち有償製品エディションが3つ(Standard, Advanced, Enterprise)、

そのうち無償製品エディションが1つ(vShield Endpoint)

 

しかしその際、ライセンス インストールを無しで運用をした場合”NSX for vShield Endpoint"という無償ライセンスで可動し、Guest Introspectionに対応したサードパーティ ソリューションの機能提供用のインフラを提供してくれます。vShieldのGuest Introspectionを利用するには、NSX Manager 6.2.4以降のデプロイが必要です。

f:id:instructor8010:20180528231227p:plain

VMware NSX for vSphere 6.2.4 リリース ノート

 

項目 以前 現在
vShieldはどの製品の位置付けか? vCloud Network and Securityの一部 vSphereの一部
vShieldを管理、機能提供してくれる
モジュールは?
・vCloud Network and Security Manager(旧vShield Manager)
VMware Toolsに含まれるvShield Endpoint Driver
・ESXi上で動作するvShield Endpoint ESXモジュール
NSX Manager
・ゲスト イントロスペクション サービス仮想マシン
VMware Toolsに含まれるGI Agent
・ESXi上で動作するGI ESXiモジュール
備考 vCNSを利用していたユーザーは、
継続的にvShieldを利用する場合、VMware NSXへの移行が必要である
VMware NSXは6.2.4以降である必要がある
NSX Managerをデプロイした段階で、
既にNSX for vShieldというライセンスが適用された状態である
vSphereはEssentials Plus以降のライセンスである必要がある

 

【関連記事】