VDI の Symantec Endpoint Protection とは

VDI の Symantec Endpoint Protection は、Symantec Endpoint Protection と Symantec Data Center Security: Server を組み合わせたもので、仮想デスクトップインフラ (VDI) を保護します。このソリューションは vShield と NSX の両方の環境に適用できます。

  • Symantec Endpoint Protection には、ファイアウォール、侵入防止、ウイルスとスパイウェアの対策、ブラウザ保護、Insight、SONAR、アプリケーション制御、デバイス制御などの複数の保護レイヤーが用意されています。

    http://www.symantec.com/endpoint-protection/

  • DCS: Server (Symantec Data Center Security: Server) は、エージェントレスのマルウェア対策とネットワーク IPS の保護と VMware 環境で動作する仮想作業負荷のファイル評価を提供します。

Symantec Endpoint Protection と DCS: Server は補完的に仮想環境を保護します。さらに、両方とも仮想環境でウイルススキャンを実行しますが、このタスクを次のように異なる方法で実行します。

  • Symantec Endpoint Protection を仮想環境で実行すると、すべての仮想マシン (VM) でウイルススキャンが有効になります。その結果、ウイルススキャンは各 VM で個別に実行し、シグネチャ定義ファイルは各 VM で個別に保存されます。

  • DCS: Server を仮想環境で実行すると、ウイルススキャンとウイルス定義の両方をオフロードして単一の仮想アプライアンスに格納します。1 つのアプライアンスのみをスキャンするので、多くのストレージ領域を必要としません。

VDI に Symantec Endpoint Protection を使うメリット

VDI の配備では通常、各 ESXi ホストに多数のゲスト VM を配備しなければなりません。ディスクに数千の VDI エンドポイントを読み書きするには、ゲスト VM に大量のネットワークとストレージ I/O が必要です。

VDI の Symantec Endpoint Protection では、DCS: Server を使ってウイルススキャンをオフロードし、ウイルスシグネチャの更新を 1 つの中央仮想アプライアンスに統合してこの問題に対処します。

これには、次のメリットがあります。

  • スキャンストームがない

  • LiveUpdate ストームがない

  • ストレージ使用量の削減

図: Symantec Endpoint Protection と DCS: Server が連携する方法に、DCS: Server がエージェントレスのマルウェア対策ソリューションを使って仮想環境を保護し、Symantec Endpoint Protection が仮想クライアントを使って安全に保護する方法を示します。

図: Symantec Endpoint Protection と DCS: Server が連携する方法

Symantec Endpoint Protection と DCS: Server が連携する方法

一緒に動作するように Symantec Endpoint Protection と DCS: Server を設定する

同じ仮想環境で Symantec Endpoint Protection と DCS: Server を実行すると、スキャンストームが発生することがあります。スキャンストームは、複数の仮想マシンでウイルススキャンの実行と定義の更新を同時に連続的に行うと発生します。絶えずスキャンや更新を実行すると、ストレージやコンピューティングリソースに多くの負荷がかかり、パフォーマンスが低下します。

スキャンストームを避けるには:

表: Symantec Endpoint Protection の設定手順に、Symantec Endpoint Protection で実行する必要がある手順を示します。

表: DCS: Server の設定手順に、DCS: Server で実行する必要がある手順を示します。

表: Symantec Endpoint Protection の設定手順

手順

タスク

説明

1

仮想クライアントにグループを追加する

仮想環境のみで実行するクライアントを含むグループを追加します。グループを追加したら、主要な[My Company]グループからポリシー設定を継承しないように継承を無効にします。

グループを追加するには、Symantec Endpoint Protection Manager で[クライアント]、[グループの追加]の順にクリックします。

 

「グループの継承の有効化と無効化」

2

エージェントレスのクライアントに、縮小サイズの定義とともに 12.1.6 クライアントインストールパッケージを配備する

縮小サイズのクライアントインストールパッケージには、完全な定義よりもサイズが小さいウイルス定義とスパイウェア定義が含まれます。これらの定義は必要なディスク容量を削減し、定義の更新時に必要な I/O 処理量を減らします。

標準サイズのインストールパッケージと同じ方法で、縮小サイズのインストールパッケージを配備します。[クライアント配備ウィザード]で、クライアントのインストール設定に[デフォルトの縮小サイズインストール設定]を選択します。

「クライアントのインストール方法について」

「縮小サイズのクライアントインストールパッケージについて」

3

新しいウイルスとスパイウェアの対策ポリシーを追加して DCS: Server が実行するスキャンと同じようなスキャンを無効にする

DCS: Server も使う Symantec Endpoint Protection のスキャン機能の一部を無効にします。仮想クライアントのグループにポリシーを割り当てます。

VDI 環境のカスタムポリシーをダウンロードまたはインポートすることも、独自のポリシーを追加して設定することもできます。

Symantec Endpoint Protection のウイルスとスパイウェアの対策ポリシーの設定

4

Symantec Endpoint Protection でセキュリティリスクをスキャンしないように新しい例外ポリシーを追加する

DCS: Server がすでに C:\ フォルダをスキャンしているので、Symantec Endpoint Protection クライアントはそのフォルダをもう一度スキャンする必要はありません。仮想クライアントのグループにポリシーを割り当てます。

セキュリティリスクをスキャンしない例外ポリシーの追加

表: DCS: Server の設定手順

手順

タスク

説明

1

仮想クライアントのセキュリティグループの作成

  • NSX 環境では、セキュリティグループを追加して VMware Web クライアントを使っているセキュリティグループに GVM を追加します。次に、セキュリティポリシーを作成し、DCS AV ポリシーをセキュリティポリシーにバインドし、VMware Web クライアントを使用しているセキュリティグループに公開済みのポリシーを割り当てます。

    セキュリティグループの作成について詳しくは、次のサイトの VMware ガイドを参照してください。http://pubs.vmware.com

  • vCNS 環境で、セキュリティグループを追加します。セキュリティグループの追加には、セキュリティポリシーのバインドと GVM をセキュリティグループに追加することが含まれます。

2

新しい AV ポリシーの追加と一部のスキャン設定の修正

スキャンの重複を最小化するように設定を変更すると、オンデマンドスキャン中に DCS: Server がタイムアウトしません。

仮想クライアントのグループにポリシーを公開します。

セキュリティリスクをスキャンしない例外ポリシーの追加

3

仮想クライアントのグループにデフォルトの SVA 設定ポリシーを公開する

SVA 設定ポリシーはセキュリティ仮想アプライアンス (SVA) の動作を管理します。

4

仮想クライアントのグループにデフォルトの SVA 設定の基本ポリシーを公開する

SVA 設定の基本ポリシーの[スキャン設定]で、ESXi ホストのゲスト仮想マシンで同時に実行できるスキャンが 2 つだけであることを確認します。

Symantec Endpoint Protection のウイルスとスパイウェアの対策ポリシーの設定

ゲスト仮想マシンでスキャンストームを避けるには、Symantec Endpoint Protection Manager のウイルスとスパイウェア対策ポリシーで一部のスキャン機能を無効にします。物理クライアントコンピュータにはこのポリシーを適用しないでください。

既存の VDI の Symantec Endpoint Protection のウイルスとスパイウェア対策ポリシーをダウンロードしてインポートするには

  1. ウイルスとスパイウェアの対策ポリシー (この記事の[添付ファイル]リンクの VDI.dat ファイル) をダウンロードして、Symantec Endpoint Protection Manager をインストールしたコンピュータに保存します。

  2. Symantec Endpoint Protection Manager で、[ポリシー]、[ウイルスとスパイウェアの対策]、[ウイルスとスパイウェアの対策ポリシーをインポート]の順にクリックします。

  3. [ポリシーのインポート]ダイアログボックスで、ポリシーファイル (ウイルスとスパイウェアの対策ポリシー - VDI.dat) の場所を指定して[インポート]をクリックします。

  4. [入力]ダイアログボックスで[OK]をクリックします。

  5. ポリシーを右クリックして[割り当て]をクリックし、仮想クライアントのグループにポリシーを適用します。

Symantec Endpoint Protection のウイルスとスパイウェアの対策ポリシーを設定するには

  1. Symantec Endpoint Protection Manager で、[ポリシー]、[ウイルスとスパイウェアの対策]、[ウイルスとスパイウェアの対策ポリシーを追加]の順にクリックしてウイルスとスパイウェアの対策ポリシーを開きます。

  2. [Windows の設定]で、[管理者定義のスキャン]をクリックして次のタスクを実行します。

    • [スキャン]タブの[定時スキャン]で[日単位の定時スキャン]を選択し、[削除]、[はい]の順にクリックします。

    • [詳細設定]タブで、[新しい定義を取得するときにアクティブスキャンを実行する]のチェックマークをはずします。

  3. [自動保護]をクリックして[スキャンの詳細]タブで次のタスクを実行します。

    • [セキュリティリスクをスキャンする]のチェックマークをはずします。

    • [詳細なスキャンと監視]、[ファイルを修正したときにスキャンする]の順にクリックして[ファイルをバックアップしたときにスキャンする]のチェックマークをはずします。

    • [アクセスしたときにフロッピーディスクのブートウイルスを調べる]のチェックマークをはずして[OK]をクリックします。

    • ネットワークスキャンを無効にするには、[スキャンの詳細]タブで[リモートコンピュータのファイルをスキャンする]のチェックマークをはずします。

  4. [詳細設定]タブで、次のタスクを実行します。

    • [Symantec Endpoint Protection の開始]をクリックします。

      このオプションはクライアントの起動パフォーマンスを改善します。

    • [コンピュータの終了時にフロッピーディスクを調べる]のチェックマークをはずします。

    • [ファイルのキャッシュ]をクリックして[新しい定義をロードしたときにキャッシュを再スキャンする]のチェックマークをはずし、[OK]をクリックします。

  5. 変更を保存するには、[OK]、[はい]の順にクリックしてすでに追加した仮想クライアントのグループにポリシーを割り当てます。

セキュリティリスクをスキャンしない例外ポリシーの追加

新しい例外ポリシーで、クライアントが仮想クライアントの C:\ ドライブでセキュリティリスクをスキャンしないように例外を追加します。この例外を追加しないと、Symantec Endpoint Protection と DCS: Server の両方が同じリスクをスキャンします。

Symantec Endpoint Protection クライアントがセキュリティリスクをスキャンしないように例外を追加するには

  1. [ポリシー]ページで[例外]、[例外ポリシーの追加]、[例外]の順にクリックします。

  2. [例外]ペインで、[追加]、[Windows の例外]、[フォルダ]の順にクリックします。

  3. [フォルダの例外の追加]ダイアログボックスの[フォルダ]テキストフィールドに、C:\ と入力して[OK]をクリックします。

    [セキュリティリスク]のスキャンの種類がそのままになっていることを確認します。[SONAR]や[すべて]に変更しないでください。

  4. [OK]をクリックして仮想クライアントのグループにポリシーを割り当てます。

DCS: Server の AV ポリシーの設定

VDI クライアントの Symantec Endpoint Protection のパフォーマンスを改善するには、AV ポリシーのデフォルトオプションをいくつか変更します。DCS AV ポリシーの設定は、vShield と NSX の環境両方に適用されます。ただし、[vCNS にのみ使用するデフォルトの AV ポリシー (Windows)]は vShield にのみ適用されます。

DCS: Server AV ポリシーを設定するには

  1. DCS: Server で[ポリシー]、[すべてのエージェントレスの保護]の順にクリックして、[+] (追加) のアイコンをクリックします。

  2. [新しいポリシーの追加]ページの[ポリシーテンプレートの選択]で、[AV ポリシー (Windows) - アクセス時にスキャン]をクリックします。

  3. 有効にするには[脅威の削除]にチェックマークを付けます。

    チェックマークを付けないと、DCS: Server は同じ脅威が検出されるたびに複数のイベントを生成します。

  4. [全般]セクションで[スキャンの除外 - 拡張子]をクリックして[フォルダ]で C:\Windows\Installer と入力します。

    オンデマンドスキャン中に DCS: Server がタイムアウトしないように、このフォルダを追加します。

  5. [オンデマンドスキャンの設定]で、[ポリシーを適用したときにゲスト VM をスキャンする]のチェックマークをはずして[オンデマンドスキャンのキャッシュ]にチェックマークを付けます。

    これらのオプションを修正するとオンデマンドスキャンの時間が短縮されます。

  6. 変更を保存するには、[保存]をクリックして仮想クライアントのグループにポリシーを公開します。

Legacy ID: v115551685_v115453448

ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)

    © 1995-2019 Broadcom. All Rights Reserved. The term “Broadcom” refers to Broadcom Inc. and/or its subsidiaries.