仮想ホスト設定:導入の基本情報

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、仮想環境にSecurity Analyticsを導入するための一般的なガイドラインと要件について説明します。

「仮想ホスト設定ガイド」で使用される略語

                                                                                           
略語説明
CPU中央処理装置
EPS秒あたりのイベントの数
VMware ESXエンタープライズ クラスのタイプ1ハイパーバイザー
GBギガバイト。1 GB = 1,000,000,000バイト
Gbギガビット。1 Gb = 1,000,000,000ビット。
Gbpsギガビット/秒、つまり10億ビット/秒。光ファイバーなどのデジタル データ転送メディアの帯域幅を表します。
GHzギガヘルツ。1 GHz = 1,000,000,000 Hz
IOPS1秒あたりのI/O操作回数
IPDBInternet Protocol Database
Mbpsメガビット/秒、つまり100万ビット/秒。光ファイバーなどのデジタル データ転送メディアの帯域幅を表します。
NASネットワーク接続型ストレージ
OVFオープン仮想化形式
OVAOpen Virtual Appliance。このガイドでは、OVAはOpen Virtual Hostを意味します。
RAMランダム アクセス メモリ(メモリとも呼ばれる)
SANストレージ エリア ネットワーク
SSD/EFD HDDソリッド ステート ドライブ/エンタープライズ フラッシュ ドライブのハード ディスク ドライブ
SCSISmall Computer System Interface
SCSI(SAS)ハード ドライブやテープ ドライブなどのストレージ デバイスにデータを転送するためのポイント ツー ポイント シリアル プロトコルです。
vCPU仮想中央処理装置(仮想プロセッサーとも呼ばれる)
vRAM仮想ランダム アクセス メモリ(仮想メモリとも呼ばれる)

サポートされる仮想ホスト

次のSecurity Analyticsホストを仮想ホストとして仮想環境にインストールできます。仮想環境によって提供される機能を継承できます。

  • Security Analyticsサーバ
  • Archiver
  • Broker
  • Concentrator
  • Event Stream Analysis
  • Log Decoder
  • Malware Analysis
  • Decoder
  • リモートLog Collector
  • Warehouse Connector

次のVMwareインフラストラクチャの概念に精通している必要があります。

  • VMware vCenter Server
  • VMwareホスト
  • 仮想マシン

VMwareの概念については、VMware製品ドキュメントを参照してください。

仮想ホストは、OVAとして提供されます。仮想インフラストラクチャにOVAファイルを導入し、仮想マシンを構築する必要があります。

インストール メディア

インストール メディアは、OVAパッケージの形式で提供され、Download Central(https://download.rsasecurity.com)からダウンロードしてインストールすることができます。製品を購入いただくと、購入したコンポーネントのOVAにアクセスできるようになります。

仮想環境の推奨事項

OVAパッケージによりインストールされる仮想ホストは、Security Analyticsハードウェア ホストと同じ機能を持ちます。つまり、仮想ホストを導入する際に、バックエンド ハードウェアを考慮する必要があります。RSAでは、仮想環境の設定時に、次のタスクを実行することを推奨します。

  • さまざまなコンポーネントのリソース要件に基づき、ベスト プラクティスに沿ったシステムおよび専用のストレージを適切に導入します。
  • バックエンドのディスクは、導入環境に必要な収集レートよりも一貫して10%以上高速な書き込み速度を達成できるよう構成します。
  • Concentratorのメタ データベースとインデックス データベースのディレクトリは、SSD/EFD HDD上に構築します。
  • データベース コンポーネントがOS(オペレーティング システム)コンポーネントから独立している(つまり、独立した物理システム上にある)場合、次のいずれかの直接接続を使用します。
    • 仮想ホストごとに2つの8 Gbpsファイバー チャネルを使用したSAN
      または
    • 6 Gbpsシリアル アタッチSCSI(SAS)

注:1) 現時点では、Security Analyticsは仮想環境でのNASの使用をサポートしません。
2)Decoderでは、継続的スループット要件を満たしていれば、どのようなストレージ構成でもかまいません。SANへの標準の8 Gbpsファイバー チャネル リンクは、10 Gbでのパケット データの読み書きには不十分です。10G DecoderをSANに接続する場合は、複数のファイバー チャネルを使用する必要があります。

仮想ホストの推奨システム要件

次の表は、EPSレート(ログ)またはMbps収集レート(パケット)に基づき、各コンポーネントの仮想ホストのvCPU、vRAM、読み取り/書き込みIOPSの推奨要件を示しています。

  • ストレージの割り当ては、「ステップ3:Security Analyticsのデータベースの構成」で説明します。
  • vRAMおよびvCPUの推奨値は、収集レート、構成、有効化されたコンテンツによって異なります。
  • ここに記載された推奨値は、ログの場合は最大25,000 EPS、パケットの場合は最大2 Gbpsの収集レートでテストされています。
  • 以下の表に記載されているすべてのコンポーネントのvCPUの仕様は、
    Intel Xeon CPU @2.59 Ghzです。
  • ポートはすべてSSLです。

Log Decoder

                                       
EPSテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
10,000830 GB1650 GB30050

15,000

12

40 GB

20

60 GB

550

100

Packet Decoder

                                                
Mbpsテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
500840 GB840 GB150200
1,0001240 GB1250 GB200400
1,5001650 GB1675 GB200500

ログ用Concentrator

                                       
EPSテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
10,000430 GB1050 GB1,6006500

15,000

6

40 GB

12

60 GB

1,600

7600

パケット用Concentrator

                                                
Mbpsテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
500830 GB1250 GB2504600
1,0001240 GB1650 GB5505500
1,5001650 GB2475 GB10506500

ログ用Warehouse Connector

                                       
EPSテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
10,000620 GB830 GB5050

15,000

6

30 GB

10

35 GB

5050

パケット用Warehouse Connector

                                                
Mbpsテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
500620 GB620 GB5050
1,000630 GB630 GB5050
1,500840 GB840 GB5050

ログ用Archiver

                                       
EPSテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
10,000810 GB1240 GB1300700

15,000

12

20 GB

14

45 GB

1,200

900

ESA(Event Stream Analysis)とContext Hub

                              
EPSテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
90,0001250 GB3294 GB5050

Security Analytics(NW)サーバ

                           
テスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
8

50 GB

1250 GB10050

Broker

                           
テスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
4

10 GB

410 GB100350

Log Collector(ローカルおよびリモート)

                                       
EPSテスト環境 vCPUテスト環境 vRAM本番環境 vCPU本番環境 vRAM読み取り
IOPS
書き込み
IOPS
15,00088 GB88 GB5050
30,000815 GB815 GB100100

リモートLog Collectorのサイジング ガイドライン

Legacy Windows Collectorのサイジングのガイドラインについては、「RSA Security Analytics Legacy Windows収集 アップグレードおよびインストール」ドキュメントを参照してください。

Previous Topic:概要
You are here
Table of Contents > 導入の基本情報

Attachments

    Outcomes