仮想化環境向けにDarktrace vSensor

従来の物理ネットワークとは異なる仮想化マシン間のトラフィックのモニタリングは困難です。これはVM間のトラフィックは物理スイッチではなく仮想スイッチ上にあり、観測可能な物理ネットワーク上には転送されないためです。

Darktrace vSensor未導入環境では、仮想マシンのトラフィックはモデル化されない

Darktrace vSensor


DarktraceのEnterprise Immune Systemはすべてのネットワーク アクティビティを観測し、企業インフラ内に存在する深刻な異常を特定します。コアとなるDarktraceアプライアンスはデジタル通信の大部分が通過する物理ネットワークの中心にインストールされます。
今日の分散されたインフラに対して、Enterprise Immune Systemが仮想環境も含めて包括的な可視性を持つことができるように、DarktraceはvSensorを開発しました。

vSensorソフトウェアは仮想ネットワーク スイッチからSPAN(ミラーリング)するよう設定された仮想アプライアンスとしてインストールされます。これによりすべてのVM間のトラフィックを、1つのパケロスもしくは破棄することなくキャプチャすることができます。パケット キャプチャをローリング方式で保存し、ディスクの空き容量と入出力パフォーマンスを最適化することにより、サーバのパフォーマンスに与える悪影響を最小限に留めています。物理サーバ1台につき、vSensorを1つだけインストールするだけで良いようにスケーラビリティが確保されています。
vSensorはDarkflowシステムを使って関連のあるメタデータのみを抽出し、取り込んだ生のネットワーク トラフィックの1%を物理ネットワークの任意の場所にあるマスター アプライアンスに効率的かつ安全に送信します。

Darktrace vSensorは業界標準フォーマットで仮想(ソフトウェア)アプライアンスとして配布されます。VMWare、ESXiおよびOpen Visualization Formats(OVF)をサポートするその他の仮想環境に対応するよう開発されています。

サードパーティ クラウド環境の場合、vSensorはOS-Sensorによりサポートされます。これらは軽量なホストベースのサーバ エージェントであり、ネットワーク トラフィックのコピーをインテリジェントに抽出してマスターアプライアンスでの解析を可能にします。

vSensorの使用例


当社の御客様にとってvSensorが特に有効と思われる3つの事例について下記の通り紹介いたします。

1:所有ハードウェア サーバにある複数のVM

Darktrace Immune System の標準的な運用には、1台のハードウェア アプライアンス内の仮想サーバから別のハードウェア アプライアンス内の仮想サーバへのすべてのトラフィックのキャプチャが含まれます。これはトラフィックが物理的なネットワーク接続をトラバースするためです。

ハードウェア サーバにvSensorをインストールすることにより、単なるもう1つのVMとして動作し、可視性は同じ物理アプライアンス内のVM間のトラフィックにまで拡張されます。

vSensorソフトウェアはマスターDarktrace(ハードウェア)アプライアンスと共に使用する必要があります。

vSensorをインストールした物理サーバ内のトラフィックは可視化されます

2:遠隔地

リモートオフィスや離れた場所に、それぞれ数台のマシンが配備されているケースが多いと思います。代表的な事例として、300箇所の営業所あるいは販売店のそれぞれに、5台のマシンがある場合を考えてみましょう。このようなインフラを持つ組織において、それぞれの拠点に1台ずつ計300台のDarktraceアプライアンスを導入することは実用的ではありません。

Darktrace vSensorを利用することで、関連するトラフィックがvSensorをホスティングしている仮想環境内に入っていればDarktraceはこれらの相互通信をキャプチャし、各拠点内を移動しているデータに対する考察を得ることが出来ます。データはマスターアプライアンスに送信され、Enterprise Immune Systemによる詳細な解析が行われます。

vSensorをインストールした物理サーバ内のトラフィックだけでなく、物理スイッチも含めて可視化されます

3:マネージド型サードパーティ クラウド プロバイダ

マネージド型のクラウドコンピューティング環境を使用する場合、物理サーバに対する直接のアクセスが無くても、クラウド環境内を移動するデータをセキュリティ モニタリングに含めたいと考えるでしょう。物理ネットワークに接続されたマスターDarktraceアプライアンスはクラウド データデンター内のデータにアクセスしているユーザまたはクライアントの活動を既にキャプチャしています。さらにvSensorを使用することで、クラウド内の横方向の情報の流れに対する可視性も得ることが出来ます。

OS-Sensorにより、Darktraceは仮想ネットワークのトラフィックもキャプチャすることができます。OS-Sensorは軽量なホストベースのサーバ エージェントであり、クラウド上の仮想マインに簡単にインストールすることができます。

OS-Sensorはネットワーク トラフィックの単一のコピーを非侵襲的な方法でインテリジェントに作成し、自己を動的に構成してデータの重複を回避し、帯域幅を効率的に使用することが出来ます。データはvSensor内に集積され、安全な接続を使ってマスターアプライアンスに送られます。


Darktrace OS-Sensorは詳細に設定が可能で、クラウド トラフィックのすべてあるいは選択されたものをチェックし、ハイパーバイザーへのアクセスを必要とせずパフォーマンスへの影響も最小限です。LinuxおよびWindowsに対応したDarktrace OS-Sensorは堅牢かつ弾力性があり、可視性を求めてホスティングの場所に関わらずクラウド環境に、Enterprise Immune Systemのモニタリング機能を適用することを可能にします。

大手ホスティング(EC2、Google、Azure、rackspace)対応、サードパーティ クラウド内の仮想マシンも可視化できます