NSXネットワーク仮想化とスキャンを統合する

仮想環境は非常に流動的であるため、セキュリティの点から見て管理が難しくなっています。アセットは絶えずオンラインになったりオフラインになったりしています。管理者はビジネスニーズが変わるたびに、アセットを異なるオペレーティング・システムやアプリケーションと組み合わせて再度目的を持たせています。仮想アセットを追跡することは困難です。また、仮想アセットにセキュリティポリシーを施行することはさらに困難です。

vAssetスキャン機能は、NexposeスキャンをVMware NSXネットワーク仮想化プラットフォームと統合して、この困難に対処します。この統合により、スキャン・エンジンがNSXネットワーク仮想アセットへと直接アクセスできるようになり、当該スキャン・エンジンはネットワーク内のセキュリティサービスとして登録されます。このアプローチにはいくつかの利点があります

注意: vAssetスキャン機能は異なる機能でありvAssetの発見からのライセンスオプションです。これは、後にスキャン可能である動的サイトの作成に関連しています。同機能に関する詳細については、アセット(資産)の動的検出を管理するをご参照ください。

NSX統合サイトでの操作

このNSX統合プロセスを通してサイトを作成する場合、そのサイト設定では以下の作業を行えません

vAsset スキャン機能の要件

vAssetスキャン機能を利用するには、以下のコンポーネントが必要です

vAsset スキャン機能の配備ステップ

vScan機能を配備するには、以下のステップを行います

  1. VMwareエンドポイントを配備する
  2. 仮想アプライアンス(NexposeVA)をvCenterに統合する
  3. VMware NSXと統合するためアプリケーションを準備する
  4. NSXマネージャーを利用してNexposeを登録する
  5. スキャン・エンジンをNSXから統合する
  6. セキュリティグループを作成します。
  7. セキュリティポリシーを作成
  8. Windows仮想マシンの電源をオンにする
  9. セキュリティグループをスキャンする

VMwareエンドポイントを配備する

  1. VMware vSphereウェブ・クライアントにログオンします。
  2. ホームメニューから、ネットワークおよびセキュリティを選択します。
  3. ネットワークおよびセキュリティメニューから、インストールを選択します。
  4. インストールペインで、サービス配備タブを選択します。緑のプラス・マークi_nsx_plus.jpgをクリックして、その後VMwareエンドポイントのチェックボックスを選択します。次へボタンをクリックして配備を設定します。

s_nsx_web_client_installation.jpg

vSphereウェブ・クライアント-選択サービスおよびスケジュール・ペイン

  1. クラスタを選択ウィンドウで、VMwareエンドポイントを配備するデータセンターとクラスタを選択します。次へをクリックします。
  2. ストレージを選択ペインで、VMwareエンドポイント用のデータ・ストアを選択します。次へをクリックします。
  3. 管理ネットワークを設定ウィンドウで、VMwareエンドポイントのネットワークおよびIP割り当てを選択します。次へをクリックします。
  4. 準備完了のウィンドウで、終了をクリックします。

仮想アプライアンスNexposeVAをvCenterに統合する

Linuxオペレーティング・システム上で実行中の既存のNexposeインストールがある場合、このステップを省略して、直接VMware NSXと統合するためアプリケーションを準備するへと移動可能です。

  1. Rapid7コミュニティhttps://community.rapid7.com/docs/DOC-2595からNexposeVA.ovaファイルをダウンロードします。
  2. VMware vSphereウェブ・クライアントにログオンします。
  3. ファイルメニューから、OVFテンプレートを配備...を選択します。
  4. ソースペインで参照...をクリックして、NexposeVA.ovaファイルを見つけて選択します。その後、次へをクリックします。

s_nsx_deploy_OVF_name_location.jpg

vSphereクライアント-ソース > OVF テンプレート詳細ペイン

  1. 名前およびロケーションペインで、名前を入力し仮想アプライアンスの目録ロケーションを選択します。その後、次へをクリックします。
  2. ホスト/クラスタペインで、仮想アプライアンスを配備するデータセンターを選択します。その後、次へをクリックします。
  3. ストレージペインで、仮想アプライアンス用のデータ・ストアを選択します。その後、次へをクリックします。
  4. ストレージペインで、仮想アプライアンス用のディスク形式を選択します。形式は配備するデータストアにより異なります。その後、次へをクリックします。
  5. ネットワークマッピングペインで、仮想アプライアンスを配備するネットワークを選択します。その後、次へをクリックします。
  6. 仮想アプライアンス配備に自動設定ネットワーク設定を行うDHCPを利用していない場合、プロパティペインに移動して、デフォルトのゲートウェイ・アドレス、DNSサーバー・アドレス、ネットワークインターフェース・アドレス、およびネットマスク・アドレスを入力します。その後、次へをクリックします。または、DHCPを利用している場合は、このステップを省略してください。
  7. 準備完了ペインで、配備後に電源をオンにするチェックボックスを選択します。その後、終了をクリックします。

注意: この時に静的IPアドレスを設定すると、将来、OVFプロパティを編集して変更なくてはなりません。

VMware NSXと統合するためアプリケーションを準備する

VMware NSXと統合するには、Nexposeに仮想アプライアンスのコピーが必要です。

Rapid7コミュニティhttps://community.rapid7.com/docs/DOC-2595から仮想アプライアンス・スキャン・エンジンをダウンロードします。その後、LinuxとWindowsのどちらを使用してるかにより、以下の2つのステップのいずれかを行います。

Linux

  1. NexposeがLinuxベースのオペレーティング・システム上にインストールされている、シェルセッションにログオンします。仮想アプライアンスを使用している場合、デフォルトユーザー名およびパスワードは、どちらもnexposeです。
  2. セキュリティ上のベストプラクティスとして、ログオン後即座に認証資格情報credentialsを変更してください。
  3. 以下のスクリプトをルートとして実行します。またはsudoを使用します

OVF_DEST=/opt/rapid7/nexpose/nsc/webapps/console/nse/ovf
NEXPOSEVASE_SRC='http://download2.rapid7.com/download/NeXpose-v4/NexposeVASE.ova'

mkdir -p $OVF_DEST
wget -P /tmp $NEXPOSEVASE_SRC

tar -xvf /tmp/NexposeVASE.ova -C /tmp
mv /tmp/NexposeVASE_OVF10.ovf $OVF_DEST/NexposeVASE.ovf
mv /tmp/system.vmdk $OVF_DEST/system.vmdk
chmod 644 $OVF_DEST/*
rm -f /tmp/NexposeVASE*

# TEMPORARY FIX - Hard-code private IP address in OVF file
sed -i 's/ <Property ovf:key="ip1" ovf:userConfigurable="true" ovf:type="string">/ <Property ovf:key="ip1" ovf:userConfigurable="true" ovf:type="string" ovf:value="169.254.1.100">/g' ${OVF_DEST}/NexposeVASE.ovf
sed -i 's/ <Property ovf:key="netmask1" ovf:userConfigurable="true" ovf:type="string">/ <Property ovf:key="netmask1" ovf:userConfigurable="true" ovf:type="string" ovf:value="255.255.255.0">/g' ${OVF_DEST}/NexposeVASE.ovf

スクリプト内のOVF_DESTは、Nexposeがデフォルトのロケーション/opt/rapid7/nexposeにインストールされたと仮定します。NexposeVAを使用していない場合、Nexposeインストールパスを適宜変更してください。

Windows

Windows環境である場合、以下のステップを行います

  1. Nexposeセキュリティ・コンソールがインストールされているWindowsコンピュータにログオンします。
  2. http://download2.rapid7.com/download/NeXpose-v4/NexposeVASE.ovaで、Nexpose仮想アプライアンス・スキャン・エンジンNexposeVASEをダウンロードします。
  3. 7-Zipをまだインストールしていない場合、http://www.7-zip.org/download.htmlでダウンロードしてインストールしてください。
  4. NexposeVASE.ovaファイルを7-Zipを利用して解凍します。
  5. ファイル名NexposeVASE_OVF10.ovfをNexposeVASE.ovfへと変えます。
  6. NexposeVASE_OVF10.mfファイルを削除します。
  7. C\Program Files\[nexpose_installation_directory]\nsc\webapps\console内で、nse/ovf foldersを作成します。
  8. NexposeVASE.ovfおよびsystem.vmdkファイルを、C\Program Files\[nexpose_installation_directory]\webapps\console\nse\ovfへと移動します。
  9. テキスト編集アプリケーション内で、NexposeVASE.ovfファイルを開きます。
  10. 当該ファイルで、ovfvalue propertyip1 keyへと追加し、値を169.254.1.100に設定します。

<Property ovfkey="ip1" ovfuserConfigurable="true" ovftype="string" ovfvalue="169.254.1.100">

  1. ovfvalueプロパティをnetmask1 keyへと追加し、値を255.255.255.0に設定します。

<Property ovfkey="netmask1" ovfuserConfigurable="true" ovftype="string" ovfvalue="255.255.255.0">

  1. 保存してファイルを閉じます。
  2. Nexpose に仮想スキャン機能のライセンスがあるか確認します

    1. Nexposeセキュリティ・コンソールの管理タブをクリックします。
    2. グローバルおよびコンソール設定の下の管理ページで、コンソールの管理リンクを選択します。
    3. セキュリティ・コンソール設定パネルで、ライセンスを選択します。
    4. ライセンスページで、ライセンスサポート対象機能のリストを見ます。当該仮想スキャンに、緑のチェックマークがついています。

  3. 以下の URL をお使いのブラウザにタイプして、NexposeVASE.ovfファイルがセキュリティ・コンソールからアクセス可能であることを確認します
    https://[Security_Console_IP_address]3780/nse/ovf/NexposeVASE.ovf.

NSXマネージャーを利用してNexposeを登録する

Nexposeは、仮想環境に配備する前にVMware NSXを利用して登録しなければなりません。

  1. Nexpose セキュリティ・コンソール
    にログオンします。 例https://[IP_address_of_Virtual_Appliance]3780
    デフォルトのユーザー名nxadmin、デフォルトのパスワードはnxpasswordです。
  2. セキュリティ上のベストプラクティスとして、ログオン後即座にデフォルトの認証資格情報credentialsを変更してください。上記を行うには、管理アイコンをクリックします。管理ページで、ユーザーの横の管理リンクをクリックします。ユーザーページで、デフォルトのアカウントを新しい固有の認証資格情報Credentialsで編集し、保存をクリックします。
  3. 管理ページで、NSXマネージャーの横の作成リンクをクリックして、NexposeとNSXマネージャーとの間の接続を作成します。
  4. NSX接続マネージャーパネルの一般ページで、接続名、NSXマネージャーサーバーの完全修飾ドメイン名、およびポート番号を入力します。NSXマネージャーのデフォルトのポートは443です。

s_nx_nsx_connection_general.jpg

    NexposeNSX接続マネージャーパネル一般ページ

  1. NSX接続マネージャーパネルの認証資格情報credentialsページで、NSXマネージャーと接続するときに使用するNexposeの認証資格情報credentialsを入力します。

注意: これらの認証資格情報credentialsは事前にNSX上で作成しておく必要があります。またユーザーは、NSXエンタープライズ管理者ロールを有していなければなりません。

s_nx_nsx_connection_credentials.jpg

NexposeNSX接続マネージャーパネル認証資格情報credentialsページ

スキャン・エンジンをNSXから統合する

この統合により、スキャン・エンジンはNSX内のセキュリティサービスとして実行されるようになります。また、Nexpose内に自動的にサイトが作成されます。

  1. VMware vSphereウェブ・クライアントにログオンします。
  2. ホームメニューから、ネットワークおよびセキュリティを選択します。
  3. ネットワークおよびセキュリティメニューから、インストールを選択します。
  4. インストールメニューから、サービス配備を選択します。
  1. インストールペインで緑のプラス・マークi_nsx_plus.jpgをクリックして、その後Rapid7 Nexposeスキャン・エンジンのチェックボックスを選択します。次へボタンをクリックして配備を設定します。

s_nsx_deploy_scan_engine.jpg

NSX内でスキャン・エンジン設定を設定する

  1. Rapid7 Nexposeスキャン・エンジンを配備するクラスタを選択します。

注意: 選択したクラスタ内の各ホストに1つのスキャン・エンジンが配備されます。

  1. お客様の環境設定に従って配備を設定してください。その後、終了をクリックします。

s_nsx_configure_scan_engine_settings.jpg

NSX内でスキャン・エンジン設定を設定する

注意: スキャン・エンジンの初期化中に、サービスステータスに警告が表示されます。

セキュリティグループを作成します。

この手順では、Nexposeがスキャンを行う仮想マシンのグループを作成します。このグループに以下の手順で、セキュリティポリシーを適用します。

  1. vSphereウェブ・クライアントのホームメニューで、ネットワークおよびセキュリティを選択します。
  2. vSphereウェブ・クライアントのネットワークおよびセキュリティメニューから、サービスコンポーザーを選択します。
  3. サービスコンポーザーペインで、新規セキュリテグループをクリックします。
  4. セキュリティグループを作成します。ダイナミック検索を選択するを使用、または個別の仮想マシン名を入力します。

    5. s_nsx_create_security_group.jpg

    NSX内でセキュリティグループを作成する

セキュリティポリシーを作成

この新規ポリシーは、スキャン・エンジンをセキュリティグループのエンドポイントサービスとして適用します。

  1. セキュリティグループを作成したらクリックして選択し、ポリシーを適用をクリックします。その後、新規セキュリティポリシー...リンクをクリックします。
  2. Rapid7 Nexposeスキャン・エンジンエンドポイントサービスの新規セキュリティポリシーを作成し、以下の設定を選択します
  1. OKをクリックします。

s_nsx_create_security_policy.jpg

NSX内でセキュリティポリシーを作成する

Windows仮想マシンの電源をオンにする

このマシンは、統合が正しく動作していることを確認するためのスキャンターゲットとして機能します。

  1. VMware Toolsバージョン9.4.0以降がインストールされているWindows仮想マシンの電源をオンにします。

セキュリティグループをスキャンする

ポリシーのルールは、スキャン結果に基づきセキュリティグループ内で施行されます。

  1. Nexposeセキュリティ・コンソールにログオンします。
  2. サイトリスト表で、NSXからスキャン・エンジンを配備したときに自動作成されたサイトを見つけます。
  3. スキャンアイコンをクリックします。

スキャンのモニタリングに関する情報については、手動スキャンを実行するをご参照ください。