ゲストイントロスペクションのライセンスまとめ(NSX for vShield Endpointについて)

”NSXには無償版ライセンスがあるのか？”

”NSXと連携できるアンチウィルスの機能は無償？”

と、最近ちらほら質問されることがあります。

この点について今回は順を追って説明をしたいと思います。

【本質問に至る背景】

VMware NSXがデプロイされた環境において、”ゲストイントロスペクション(以下GI)”というエージェントレスセキュリティ機能を利用される環境があります。

数百台、数千台規模で管理される仮想マシン環境において、全台の仮想マシン内のセキュリティアプリケーションの管理をするのは大変困難です。

セキュリティ機能を特別なVMとして実装し、それによりハイパーバイザー上の仮想マシンの保護を行う考え方が”エージェントレスセキュリティ”です。

※ゲストイントロスペクションの詳細説明はこちらのリンクを参照ください。

このGIという機能は、これまで存在していた”vShield”という機能がベースであり、

旧vShieldのあり方については本記事寄稿時点とリリース当初とでは異なります。

本記事機構時点：vSphereに付属する機能である
リリース当初：vCloud Networking and Security(以下vCNS)に付属する機能である

VMware社は、vCNSの販売終了をきっかけとし、このGIという機能の大本となる”vShield Endpoint”という機能のあり方を上記のように変更しています。

※次のリンク内より抜粋　https://kb.vmware.com/s/article/2146576

さらにですが、このGIを管理するためには、”VMware NSX“が必要となります。

これらをサマライズすると次の通りです。

GIの大本となる機能はvShieldと呼ばれる機能である（あった）
vShieldは現在はvSphere Essentials Plus以上に含まれている機能である
GIを実装するには、”NSX(6.2.4以降)”が必要である
ここで言う”NSX“が必要＝NSX Managerが必要、ということである

これらの点を受け、”GIを含むNSXは無償で利用できるのか？”という解釈に至るわけです。

あくまでもGI自体はサードパーティパートナーのセキュリティソリューションと連携するためのインフラであり、別途サードパーティーパートナーの製品ライセンスは必要となります。(それ自体だけでアンチウィルスなどのセキュリティを提供するわけではありません)

【結論】

VMware NSXにはライセンスエディションは4段階存在している。

そのうち有償製品エディションが3つ(Standard, Advanced, Enterprise)、

そのうち無償製品エディションが1つ(vShield Endpoint)

しかしその際、ライセンスインストールを無しで運用をした場合”NSX for vShield Endpoint”という無償ライセンスで可動し、Guest Introspectionに対応したサードパーティソリューションの機能提供用のインフラを提供してくれます。vShieldのGuest Introspectionを利用するには、NSX Manager 6.2.4以降のデプロイが必要です。

VMware NSX for vSphere 6.2.4 リリースノート

項目	以前	現在
vShieldはどの製品の位置付けか？	vCloud Network and Securityの一部	vSphereの一部
vShieldを管理、機能提供してくれるモジュールは？	・vCloud Network and Security Manager(旧vShield Manager) ・VMware Toolsに含まれるvShield Endpoint Driver ・ESXi上で動作するvShield Endpoint ESXモジュール	・NSX Manager ・ゲストイントロスペクションサービス仮想マシン・VMware Toolsに含まれるGI Agent ・ESXi上で動作するGI ESXiモジュール
備考	vCNSを利用していたユーザーは、継続的にvShieldを利用する場合、VMware NSXへの移行が必要である	VMware NSXは6.2.4以降である必要がある NSX Managerをデプロイした段階で、既にNSX for vShieldというライセンスが適用された状態である vSphereはEssentials Plus以降のライセンスである必要がある

【関連記事】