導入について

VMware NSX Securityのライセンス

2022/09/01

VMware NSX Security

VMware NSX SecurityはVMware vSphere環境をご利用のお客様にネットワークセキュリティを提供します。また、既に VMware NSX をご利用のお客様には、より高度なネットワークセキュリティ機能を提供します。代表的な機能として仮想ファイアウォール、IDS/IPS (侵入検知・防御システム) 、NDR (Network Detection and Response)、クラウドサンドボックスによる防御機能があげられます。

ライセンス体系

VMware NSX Security は「VMware NSX Distributed Firewall」(NSX 分散 ファイアウォール)と「VMware NSX Gateway Firewall」(NSX ゲートウェイ ファイアウォール)の2つのライセンス体系があります。

NSX 分散 ファイアウォール ライセンス

NSX 分散 ファイアウォールはネットワークを仮想化し、vSphere 環境の横方向(East -Westトラフィック)の保護を強化したいお客様向けにVMware NSX のセキュリティ機能を提供するライセンスです。NSX 分散 ファイアウォールの機能は、ハイパーバイザー内の仮想スイッチ上で、分散アーキテクチャにて提供されるため、ご利用いただいているvSphere環境のネットワーク構成を変更せずにご利用いただけます。

標準エディションのNSX Distributed Firewall は分散ファイアウォールの機能により仮想マシン単位でネットワークのセグメント化(マイクロセグメンテーション)が可能です。万が一、攻撃者の侵入を許した場合でも、社内ネットワークの横方向の攻撃を最小限に抑えることで被害を最小化します。

上位エディションのNSX Distributed Firewall with Threat Preventionでは基本機能に加え、分散IDS/IPSをはじめとするファイアウォールでは防げない攻撃の侵入検知/防止機能をご利用いただけます。シグネチャによる脆弱性からの保護(仮想パッチの適用)などがユースケースの1つとしてあげられます。

さらに最上位のNSX Distributed Firewall with Advanced Threat PreventionではNDRをはじめとする最新のセキュリティ機能もご利用いただけます。業界トップクラスの多様な検知機能が組み込まれた NTA (Network Traffic Analysis) やサンドボックス機能を活用するNDR は、ランサムウェアからの防御、悪意のあるネットワーク アクティビティの検知および脅威のラテラルムーブメントの阻止に役立ちます。

各エディションでご利用いただける機能概要は下記の表をご参照ください。

契約形態は期間型ライセンスで、契約期間は1年、3年を選択できます。また購入単位はvSphereと同様にCPU単位です。

NSX ゲートウェイ ファイアウォール ライセンス

NSX ゲートウェイ ファイアウォールは、境界ファイアウォールをソフトウェアで提供し、ゾーニングによって外部からのウイルス侵入を防止するセキュリティ対策を提供します。仮想アプライアンスもしくは物理アプライアンスから展開方法を選択できますので、vSphere 環境をお持ちでないお客様にもVMware NSXの境界ファイアウォールを活用したセキュリティ対策を検討いただけます。

標準エディションのNSX Gateway Firewallは、URLフィルタリングを含むゲートウェイファイアウォールの機能により境界型を活用した堅牢なネットワークセキュリティを提供します。

上位エディションのNSX Gateway Firewall with Threat Preventionでは基本機能に加えネットワーク・ゾーン境界で侵入を検知、遮断するゲートウェイIDS/IPSをはじめとする包括的な侵入検知、防止機能をご利用いただけます。

さらに最上位のNSX Gateway Firewall with Advanced Threat Preventionでは高度な脅威に対するクラウドサンドボックスなどの防御機能を備えており環境全体で一貫したネットワークセキュリティを提供します。

各エディションでご利用いただける機能概要は下記の表をご参照ください。

契約形態は期間型ライセンスで、契約期間は1年、3年を選択できます。

NSX ゲートウェイ ファイアウォールのライセンス数は、仮想アプライアンス / 物理アプライアンスの選択により購入単位が異なります。仮想アプライアンスとして利用する場合はvCPU単位の購入となります。NSX Edge VMが利用するvCPU数でカウントされ、ライセンス表記ではVMと表現されます。物理アプライアンスを利用する場合はCPUのCore数単位の購入となります。NSX Edge OS(ISO)をインストールするx86サーバに搭載されるCPU Core数です。ライセンス表記ではISOと表現されます。

※本記事では、「VMware NSX Distributed Firewall Datasheet」および「VMware NSX Gateway Firewall Datasheet」をもとにVMware NSX Security のライセンスをご紹介しています。VMware Japan Blog においてもわかりやすく解説していますので合わせてご覧ください。

 

よくあるご質問

Q1:VMware NSX Securityを利用したい場合、VMware NSXのProfessional、Advanced、Enterprise Plusといったエディションの購入が必要ですか?

A1:VMware NSXのセキュリティ機能だけを利用したい場合、VMware NSX Securityのライセンスのみでご利用いただけます。VMware NSXのエディションと同時にご利用いただく必要はありません。


Q2:VMware NSX に追加して、 NSX Threat Prevention / Advanced Threat Prevention の機能を利用することは可能でしょうか?

A2:NSX の Advanced / Enterprise Plusを利用している場合、可能です。Add On ライセンスをご利用ください。


Q3:VMware NSX Security ライセンスでは、NSX Managerのデプロイは必須なのでしょうか?

A3:NSX Manger はVMware NSX のコンポーネントの作成、設定、監視を行う管理サーバで仮想アプライアンスとして提供されます。VMware NSX Security の利用環境ではNSX Managerのデプロイは必須になります。VMware NSX Securityで利用できるVMware NSXのセキュリティ機能は、NSX Managerで設定を行い利用します。


Q4:「NSX 分散 ファイアウォール ライセンス」と「NSX ゲートウェイ ファイアウォール ライセンス」を同じNSX Managerで使うことは可能でしょうか?

A4:可能です。両方のライセンスキーをNSX Managerにいれていただき、両方の機能を同時にご利用いただけます。


Q5:NSX Edge とはなんですか?

A5:NSX Edge はネットワーク機能を提供するアプライアンスです。ファイアウォール、VPNといった機能を提供します。NSX ゲートウェイ ファイアウォール では、NSX Edge をお客様環境に展開いただくことで、境界型のセキュリティ機能を提供します。


Q6:マイクロセグメンテーションとは何ですか?

A6:マイクロセグメンテーションはネットワークを細かい仮想的なセグメントに分割することで、ネットワーク内部の「横方向」の被害を最小化する技術です。VMware NSX Securityでは、分散ファイアウォールの機能により仮想マシン単位にファイアウォールを実装することで、vSphere 環境にマイクロセグメンテーションを実現します。


Q7:VMware NSX Security で提供される各機能について教えてください。

A7:

  • URLフィルタリング / FQDNフィルタリング

    URLフィルタリングは、セキュリティのリスクを引き起こす可能性のあるWeb サイトまたはURLへのアクセスをブロックすることで悪質なコード、スパイウェア、フィッシングなどの脅威を防止します。FQDNフィルタリングは完全修飾ドメイン名で識別される特定のドメイン(*.office365.com など)をフィルタリングします。

  • IDファイアウォール(Identify Firewall)

    Active Directory (AD)との連携により、ユーザー(ID)に基づいたファイアウォールを制御します。これにより、特定のスタッフに人事データベースへのアクセスを許可または禁止といった制御が可能です。

  • IDS / IPS

    IDS(Intrusion Detection System)はネットワークにおける不正アクセスを検知するためのソリューションです。ネットワーク上の通信を監視、不正なアクセスやその兆候を検知します。IPS(Intrusion Prevention System)はネットワークにおける不正侵入を防止するためのソリューションです。ネットワーク上の通信を監視、不正なアクセスから防御します。IDS / IPSは、ファイアウォールでは防げない攻撃を検知 / 防御するための追加のセキュリティ対策の1つです。

  • NDR

    NDR(Network Detection and Response)とは、ガートナー社が提唱した、シグネチャを利用せず、機械学習などの解析技術を用いて、不審なトラフィックを検出する技術です。VMware NSX NDRは分散およびゲートウェイにおける IDS /IPS、マルウェア検知、正常パターンにそぐわない不審な動作 / 挙動(未知の脅威)イベントを相関分析し、攻撃者の行動を調査段階から目的達成までをモデル化した戦略手順に照らし合わせて攻撃と侵害の進行ステージを可視化します。

  • サンドボックスによる防御機能

    サンドボックスとは、通常ユーザが利用する領域から隔離されたシステムに影響を与えない環境で、コードやファイルを実行し挙動を分析する仕組みです。NSXでは、オンプレミス環境でのローカル解析、クラウド環境での動的解析を組み合わせて検出します。従来のシグネチャベースのセキュリティ対策では検知が難しい、ランサムウェアや高度で巧妙な脅威に対して、フルシステムエミュレーション技術で検知し防御します。

おすすめ資料ダウンロード

この記事を読んだ人がよく読む記事

最新の「導入について」

人気の記事

関連する記事

関連する資料ダウンロード

TOP