VDI の Symantec Endpoint Protection は、Symantec Endpoint Protection と Symantec Data Center Security: Server を組み合わせたもので、仮想デスクトップインフラ (VDI) を保護します。このソリューションは vShield と NSX の両方の環境に適用できます。
Symantec Endpoint Protection には、ファイアウォール、侵入防止、ウイルスとスパイウェアの対策、ブラウザ保護、Insight、SONAR、アプリケーション制御、デバイス制御などの複数の保護レイヤーが用意されています。
DCS: Server (Symantec Data Center Security: Server) は、エージェントレスのマルウェア対策とネットワーク IPS の保護と VMware 環境で動作する仮想作業負荷のファイル評価を提供します。
Symantec Endpoint Protection と DCS: Server は補完的に仮想環境を保護します。さらに、両方とも仮想環境でウイルススキャンを実行しますが、このタスクを次のように異なる方法で実行します。
Symantec Endpoint Protection を仮想環境で実行すると、すべての仮想マシン (VM) でウイルススキャンが有効になります。その結果、ウイルススキャンは各 VM で個別に実行し、シグネチャ定義ファイルは各 VM で個別に保存されます。
DCS: Server を仮想環境で実行すると、ウイルススキャンとウイルス定義の両方をオフロードして単一の仮想アプライアンスに格納します。1 つのアプライアンスのみをスキャンするので、多くのストレージ領域を必要としません。
VDI の配備では通常、各 ESXi ホストに多数のゲスト VM を配備しなければなりません。ディスクに数千の VDI エンドポイントを読み書きするには、ゲスト VM に大量のネットワークとストレージ I/O が必要です。
VDI の Symantec Endpoint Protection では、DCS: Server を使ってウイルススキャンをオフロードし、ウイルスシグネチャの更新を 1 つの中央仮想アプライアンスに統合してこの問題に対処します。
図: Symantec Endpoint Protection と DCS: Server が連携する方法に、DCS: Server がエージェントレスのマルウェア対策ソリューションを使って仮想環境を保護し、Symantec Endpoint Protection が仮想クライアントを使って安全に保護する方法を示します。
同じ仮想環境で Symantec Endpoint Protection と DCS: Server を実行すると、スキャンストームが発生することがあります。スキャンストームは、複数の仮想マシンでウイルススキャンの実行と定義の更新を同時に連続的に行うと発生します。絶えずスキャンや更新を実行すると、ストレージやコンピューティングリソースに多くの負荷がかかり、パフォーマンスが低下します。
スキャンストームを避けるには:
表: Symantec Endpoint Protection の設定手順に、Symantec Endpoint Protection で実行する必要がある手順を示します。
表: DCS: Server の設定手順に、DCS: Server で実行する必要がある手順を示します。
表: Symantec Endpoint Protection の設定手順
表: DCS: Server の設定手順
手順 |
タスク |
説明 |
---|---|---|
1 |
仮想クライアントのセキュリティグループの作成 |
|
2 |
新しい AV ポリシーの追加と一部のスキャン設定の修正 |
スキャンの重複を最小化するように設定を変更すると、オンデマンドスキャン中に DCS: Server がタイムアウトしません。 仮想クライアントのグループにポリシーを公開します。 |
3 |
仮想クライアントのグループにデフォルトの SVA 設定ポリシーを公開する |
SVA 設定ポリシーはセキュリティ仮想アプライアンス (SVA) の動作を管理します。 |
4 |
仮想クライアントのグループにデフォルトの SVA 設定の基本ポリシーを公開する |
SVA 設定の基本ポリシーの[スキャン設定]で、ESXi ホストのゲスト仮想マシンで同時に実行できるスキャンが 2 つだけであることを確認します。 |
ゲスト仮想マシンでスキャンストームを避けるには、Symantec Endpoint Protection Manager のウイルスとスパイウェア対策ポリシーで一部のスキャン機能を無効にします。物理クライアントコンピュータにはこのポリシーを適用しないでください。
既存の VDI の Symantec Endpoint Protection のウイルスとスパイウェア対策ポリシーをダウンロードしてインポートするには
ウイルスとスパイウェアの対策ポリシー (この記事の[添付ファイル]リンクの VDI.dat ファイル) をダウンロードして、Symantec Endpoint Protection Manager をインストールしたコンピュータに保存します。
Symantec Endpoint Protection Manager で、[ポリシー]、[ウイルスとスパイウェアの対策]、[ウイルスとスパイウェアの対策ポリシーをインポート]の順にクリックします。
[ポリシーのインポート]ダイアログボックスで、ポリシーファイル (ウイルスとスパイウェアの対策ポリシー - VDI.dat) の場所を指定して[インポート]をクリックします。
[入力]ダイアログボックスで[OK]をクリックします。
ポリシーを右クリックして[割り当て]をクリックし、仮想クライアントのグループにポリシーを適用します。
Symantec Endpoint Protection のウイルスとスパイウェアの対策ポリシーを設定するには
Symantec Endpoint Protection Manager で、[ポリシー]、[ウイルスとスパイウェアの対策]、[ウイルスとスパイウェアの対策ポリシーを追加]の順にクリックしてウイルスとスパイウェアの対策ポリシーを開きます。
[Windows の設定]で、[管理者定義のスキャン]をクリックして次のタスクを実行します。
[自動保護]をクリックして[スキャンの詳細]タブで次のタスクを実行します。
[詳細設定]タブで、次のタスクを実行します。
変更を保存するには、[OK]、[はい]の順にクリックしてすでに追加した仮想クライアントのグループにポリシーを割り当てます。
新しい例外ポリシーで、クライアントが仮想クライアントの C:\ ドライブでセキュリティリスクをスキャンしないように例外を追加します。この例外を追加しないと、Symantec Endpoint Protection と DCS: Server の両方が同じリスクをスキャンします。
Symantec Endpoint Protection クライアントがセキュリティリスクをスキャンしないように例外を追加するには
[ポリシー]ページで[例外]、[例外ポリシーの追加]、[例外]の順にクリックします。
[例外]ペインで、[追加]、[Windows の例外]、[フォルダ]の順にクリックします。
[フォルダの例外の追加]ダイアログボックスの[フォルダ]テキストフィールドに、C:\ と入力して[OK]をクリックします。
[セキュリティリスク]のスキャンの種類がそのままになっていることを確認します。[SONAR]や[すべて]に変更しないでください。
[OK]をクリックして仮想クライアントのグループにポリシーを割り当てます。
VDI クライアントの Symantec Endpoint Protection のパフォーマンスを改善するには、AV ポリシーのデフォルトオプションをいくつか変更します。DCS AV ポリシーの設定は、vShield と NSX の環境両方に適用されます。ただし、[vCNS にのみ使用するデフォルトの AV ポリシー (Windows)]は vShield にのみ適用されます。
DCS: Server AV ポリシーを設定するには
DCS: Server で[ポリシー]、[すべてのエージェントレスの保護]の順にクリックして、[+] (追加) のアイコンをクリックします。
[新しいポリシーの追加]ページの[ポリシーテンプレートの選択]で、[AV ポリシー (Windows) - アクセス時にスキャン]をクリックします。
有効にするには[脅威の削除]にチェックマークを付けます。
チェックマークを付けないと、DCS: Server は同じ脅威が検出されるたびに複数のイベントを生成します。
[全般]セクションで[スキャンの除外 - 拡張子]をクリックして[フォルダ]で C:\Windows\Installer と入力します。
オンデマンドスキャン中に DCS: Server がタイムアウトしないように、このフォルダを追加します。
[オンデマンドスキャンの設定]で、[ポリシーを適用したときにゲスト VM をスキャンする]のチェックマークをはずして[オンデマンドスキャンのキャッシュ]にチェックマークを付けます。
これらのオプションを修正するとオンデマンドスキャンの時間が短縮されます。
変更を保存するには、[保存]をクリックして仮想クライアントのグループにポリシーを公開します。
購読すると、この記事が更新されたときに更新内容が配信されます。ログインが必要です。
6.6
12.1 RU6 MP3
This will clear the history and restart the chat.
ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)