皆様、こんにちは。カスペルスキー製品担当SEの小池です。
「カスペルスキーと言えばエンドポイントのアンチウイルスソフトウェアでしょ!」
というイメージをお持ちの方が多いかと存じますが、実はカスペルスキーにもストレージ保護ができる製品があるのです…。
その製品名は Kaspersky Security for Storage !!!
そのまんまのネーミングですね。
この製品はICAPおよびRPCを用いて対象のストレージのアンチウイルス機能を実現します。
他のカスペルスキー製品と同様に、Kaspersky Seurity Center (管理サーバー。以降KSCと記載) で統合管理することができます。
今回はこの Kaspersky Security for StorageでNutanix Files を保護する手順をご紹介致します。
この時事ではKSC有の場合と無しの場合の両方を記載していますので、状況に応じて必要な手順を参照してください。
また、これ以降Kaspersky Security for StorageのことをKSSと記載いたします。
この記事の内容は以下の通りです。
- KSSとは
- KSSの構成イメージ
- インストールと設定の流れ (KSC有りの場合)
- インストールと設定の流れ (KSC無しの場合)
- ICAPスキャン機能の有効化 (KSC有りの場合)
- ポリシーの設定 (KSC無しの場合)
- Nutanix側の設定
- Eicar検知テスト
この記事の画面ショットで用いているKaspersky製品のバージョンは以下の通りです。
Kaspersky Security for Windows Server : 11.0.0.480
Kaspersky Security Center : 12.2.0.4376
KSSとは
前述の通り、KSSはICAPおよびRPCを用いて対象のストレージにアンチウイルス機能を提供する製品です。
対応しているストレージは以下のURLの[システム要件]をご参照ください。
https://www.kaspersky.co.jp/enterprise-security/storage-security
KSSは実際にはライセンスの名称であり、ICAPおよびRPCを用いたアンチウイルス機能自体は Kaspersky Security for Windows Server (以降KSWSと記載) の機能の1つとして提供されます。
よってKSSの導入とは、実際には "KSWSをインストールし、そこへKSSのライセンスを適用させる" ことになります。
この点が非っっっ常に紛らわしいので、導入をあきらめた方もいらっしゃるのではないでしょうか…。
上記を踏まえたうえで、本製品をご検討なさる際にポイントになりそうな点をQ&A方式で記載します。
Q. Kaspersky Endpoint Security for Businessの ライセンスでもストレージに対するICAPおよびRPCによるアンチウイルス機能を利用できますか?
A. 利用できません。 (2020/1/21時点)
各ライセンスで利用できるKSWSの機能一覧があるので、こちらをご参照ください。
●各ライセンスにおけるKSWS10で利用できる機能一覧
https://support.kaspersky.co.jp/12784
●各ライセンスにおけるKSWS11で利用できる機能一覧
https://support.kaspersky.co.jp/15634
Q. KSC (管理サーバー) は必須ですか?
A. 必須ではありません。
KSCで統合管理する必要が無い場合、もしくは何らかの理由で統合管理できない場合はKSCは無くても問題ありません。
KSCが無い場合、KSWS (KSS) をインストールする端末に "Kaspersky Security for Windows Server コンソール (以降KSWSコンソールと記載)" をインストールして管理するのが便利です。
KSWSコンソールは各端末にインストールするKSWS専用のコンソールです。これを使うことで、KSCによる統合管理ができない環境でも、製品の詳細設定をGUI経由で実施することができます。
(KSWSコンソールのインストール方法については第16回の記事をご参照ください。)
Q. ICAPとRPCによるアンチウイルス機能はどこで有効化できますか?
A. KSWSのポリシーで有効にできます。
KSWSのポリシーで有効化できます。
KSWS11のポリシーを例にすると、[ネットワーク接続ストレージの保護]で設定できます。
なおこの項目はライセンスの種類に関係なく存在する項目ですか、KSSのライセンスを適用することで機能を利用できるようになります。(KSS以外の一部のKaspersky製品のライセンスで、この部分の機能が利用できるようになるものもあります。)
Q. KSSをインストールした (実際にはKSWSをインストールし、KSSのライセンスを適用した) サーバー自身を保護する場合、追加のライセンスが必要ですか?
A. 不要です。
KSSはICAPやRPCによるアンチウイルス機能の提供に加え、自身のサーバーに対するアンチウイルス機能などを有効化できます。
具体的に有効化できる機能については以下の一覧をご参照ください。
●KSSライセンスで利用できる機能一覧 (KSWS10)
https://support.kaspersky.co.jp/12784
●KSSライセンスで利用できる機能一覧 (KSWS11)
https://support.kaspersky.co.jp/15634
Q. サイジングの目安はありますか?
A. あります。
サイジングの目安自体はありますが、環境によって考慮すべき項目が異なります。
KSSの必要台数とKSSサーバーのリソースサイジングについては、メーカーへお問い合わせください。
KSSの構成イメージ
管理サーバーで統合管理する場合、全体イメージは以下のような感じになります。
ファイルが脅威ではない場合、①→②→③→④の流れになります。
ファイルが脅威である場合、①→②→③→④'の流れになります。
KSCで統合管理しない場合、全体のイメージは以下のような感じになります。
この場合、各KSSのポリシーやタスクの設定するためにKSSサーバーのローカルにKSWSコンソールをインストールします。
この構成における定義データベースのアップデートは、インターネットにあるベンダーの公開サーバーを参照するほか、任意のフォルダー (ファイルサーバー可) に手動で定義データベースのデータをダウンロードしてそこを参照させる等、複数の方法があります。
インストールと設定の流れ (KSC有りの場合)
KSCがある場合のインストールと設定の流れは以下の通りです。
Nutanixの場合、1つのファイルサーバーに対し2つ以上のスキャンサーバーが推奨されています。そのため②では、保護したいNutanixのファイルサーバーの2倍以上のKSSをご用意ください。
以下の手順の内、③④の手順は後述いたします。
① DBとKSCをインストールする (※1)。
②スキャンサーバーにネットワークエージェントとKSS(KSWS)をインストールする (※2)。
③ICAPによるアンチウイルス機能を有効化する。
④Nutanix側にICAPサーバーを登録する。
※1...手順は第1回の記事をご参照ください。
※2...手順は第15回の記事をご参照ください。
インストールと設定の流れ (KSC無しの場合)
KSCがない場合のインストールと設定の流れは以下の通りです。
Nutanixの場合、1つのファイルサーバーに対し2つ以上のスキャンサーバーが推奨されています。そのため①では、保護したいNutanixのファイルサーバーの2倍以上のKSSをご用意ください。
以下の手順の内、②③の手順は後述いたします。
①スキャンサーバーにKSS(KSWS)をインストールする (※3)。
②ICAPによるアンチウイルス機能を有効化する。
③Nutanix側にICAPサーバーを登録する。
※3...手順は第16回の記事をご参照ください。
ICAPスキャン機能の有効化 (KSC有りの場合)
ポリシーを設定してICAPスキャンができるようにします。
なお、編集するのはKSWSのポリシーです!!
KSSはあくまでKSWSの機能の一部として提供されているため、KSS用のポリシーというものは存在しません。
例えば以下の図では、私がカスタムで作成した "Kaspersk Security for Storage" というポリシーがありますが、実際は KSWSのカテゴリに分類されていることがわかります。
上記の理由から、KSS用のポリシーをカスタムで1つ作るほうがわかりやすいかと存じます。
KSS用のポリシーのプロパティを開き、[ネットワーク接続ストレージの保護] > "ファイルのリアルタイム保護 (ICAP)" の [設定] をクリックします。
[全般]タブでポート番号を確認します。
デフォルトは1344で、変更することも可能です。
[タスク管理]タブで以下の通り設定し、[OK]をクリックします。
- [スケジュールに従って実行する] のチェックをONにします。
- 鍵マークをロック状態 (下図の通り) にします。
- [頻度] を [アプリケーションの起動時] にします。
プロパティ画面に戻ったら、[ファイルのリアルタイム保護 (ICAP) ] の鍵マークをロック状態 (下図の通り) にし、[OK] をクリックします。
以上でポリシーの設定 (KSC有りの場合)は完了です。
ポリシーの設定 (KSC無しの場合)
KSCが無い場合において、KSWSでKSSのICAP機能を有効にする方法は以下の通りです。
KSWSコンソールを起動し、[ネットワーク接続ストレージの保護] > [ICAPネットワークストレージの保護] を開き、[プロパティ] をクリックします。
[全般]タブでポート番号を確認します。
デフォルトは1344で、変更することも可能です。
[スケジュール]タブで以下の通り設定し、[OK]をクリックします。
- [スケジュールに従って実行する] のチェックをONにします。
- [頻度] を [アプリケーションの起動時] にします。
タスクステータス欄の [開始] をクリックします。
これでICAPによるアンチウイルス機能が有効になります。
以上でポリシーの設定 (KSC無しの場合)は完了です。
Nutanix側の設定
Nutanix側にICAPサーバーとしてKSS (KSWS) をインストールしたサーバーを登録します。
PRISMから [File Server] を開きます。
保護したいファイルサーバーを選択し、[Antivirus settings] をクリックします。
[Connect ICAP Server] をクリックします。
先程準備したKSSサーバーを登録します。
IPアドレス (or ホスト名)、ポート (デフォルト1344) 、説明 (任意文字列) を入力し、[Save] をクリックします。
接続ステータスに [OK] と表示されることを確認します。
続けてICAPサーバーを登録する場合は [+Connect ICAP Server] をクリックします。
登録が終わったら [Next] をクリックします。
[スキャン設定] を任意に設定し、[Save] をクリックします。
なお、このスキャン設定はファイルサーバー全体に適用される設定です。後述しますが、エクスポートした各領域でも同じ設定が可能です。
対象のファイルサーバーを選択した状態で [Antivirus] > [ICAP Servers] をクリックし、先ほど登録したKSSサーバーが表示されていることを確認します。
次に、共有している領域に対してアンチウイルスの有効化とスキャンの設定をします。
[Share/Export] をクリックし、ICAPによるアンチウイルスを実施したい領域を選択した状態で、[Antivirus settings] をクリックします。
(ここで選択する領域は、先ほどICAPサーバーを登録したファイルサーバーの共有領域にしてください。ICAPサーバ―を登録していないファイルサーバーの共有領域ではアンチウイルス機能を有効にできません。)
なお、Nutanix Filesの種類はStandardとDistributedのどちらであってもICAPによるアンチウイルス機能を設定できます。
[Enable antivirus scan for this share] にチェックを入れます。これによりICAPを使ったアンチウイルス機能が有効になります。
また、この画面でもファイルサーバーにICAPサーバーを登録した時と同様に、スキャンを実施するタイミングと除外の設定ができます。
設定が完了したら [Save] をクリックします。
これでNutanix側の設定は完了です。
Eicar検知テスト
最後に実際にファイルサーバーにEicarテストを配置し、どのように検知されるのかを確認します。
ICAPによるアンチウイルスを有効にした共有領域にEicarファイルを作成します。
このEicarファイルをダブルクリックすると、以下のようなメッセージが出て中身を閲覧することができません。
Nutanix側でどのように見えているかを確認します。
[File Servers] > [Share/Export] で対象の共有領域を選択し [Antivirus] をクリックすると、今まで検知した脅威を一覧で見ることができます。
今回の場合は "Eicar.txt" が検知され、隔離された旨が表示されています。
続いてカスペルスキー側ではどう見えているのかを確認します。
KSCでKSSを管理している場合は、イベント一覧から脅威を検知した旨確認することができます。(KSC無しの場合の確認方法は後述しておりますので、そこまでスキップしてください。)
イベント一覧には検知~バックアップまでのイベントが記載されています。
イベントの詳細から、ファイル名などを確認することができます。
なお、検知されたファイル名に日本語が用いられていた場合、その日本語部分はエンコードされた状態でここに表示されます。
KSCで管理している場合は、コンソールの [リポジトリ] > [バックアップ] から、KSCのローカディスクに復元することも可能です。
復元したいファイルを選択し、右クリックから [ディスクに保存] をクリックします。
KSCからの確認は以上です。
KSCなし構成の場合はKSWSコンソールから確認できます。
[Kaspersky Security] を開き、[ネットワーク接続ストレージの保護] タブを開くと、ICAPによるスキャンで検知した驚異の件数が表示されています。
この検知件数 (下図の場合は "1" ) をクリックします。
以下の画面が表示されます。[統計情報] タブで検知した件数などを、[イベント] タブで検知したファイル名などを確認できます。
上の画面を閉じると、[実行ログ]に自動遷移します。脅威を検知した時間などを確認できます。
KSCなしの場合におけるKSWSコンソールからの確認は以上です。
Kaspersky Security for StorageによるNutanixファイルサーバーの保護の手順は以上です!!
いかがでしたでしょうか。今回はNutanixの例を取り上げましたが、KSSは他にも多数のベンダのストレージ製品をサポートしています。
https://www.kaspersky.co.jp/enterprise-security/storage-security
上のサイトにもあるように、ICAP対応NAS 及び RPC対応NAS であれば Kaspersky Security for Storageで保護できます!!
「ほかのセキュリティベンダーで検討したけど、サポート対象じゃなかった。。。」といった状況であればぜひこの Kaspersky Secuerity for Storageをご検討ください!
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!