trend micro deep security 7.5 性能検証報告書...trendmicro deep security manager 7.5 sp3...

Copyright (c) 2012 Trend Micro Incorporated. All rights reserved.

Trend Micro Deep Security 7.5 性能検証報告書

DeepPacketInspection機能編

トレンドマイクロ株式会社

本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず本書またはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払っています。本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本書およびその記述内容は予告なしに変更される場合があります。また、本資料は性能検証報告書となり、実運用環境によっては結果が変わる可能性もあるため、結果を保証するものではございません。

本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。


目次 •概要

•検証環境

•検証結果

•まとめ

•添付資料 -Deep Securityとは

-富士通ソフトウェアテクノロジーズ Deep Securityの構築サービスご紹介 ※以降に表記されている主な製品、機能名称

・Trend Micro Deep Security（Deep Securityと表記）

・Deep Security Virtual Appliance（Virtual Applianceと表記）

・Deep Security Argent（DS Argentと表記）

・Deep Security Manager（DS Managerと表記）

1


概要

2


本書の目的

Deep Securityの導入をご検討頂くにあたり、基本

性能の検証ならびにサーバサイジング等の検証を

実施する

本書ではDeep Packet Inspection（※以降DPIと表記）機能について

検証する。

3


検証モデル

商談事例のうち要件が多い運用パターンを、検証モデルとして設定した。

モデル①：WEBアプリの脆弱性対策

業務システムなどで、数百人のユーザーが

同時にアクセスするWEBシステム

モデル②：ファイルサーバの脆弱性対策

大容量のファイルをバッチ処理（転送）

を行う基幹システム

これらの検証モデルでは、既存の物理サーバへセキュリティ対策を追加する商談が

多いため、物理サーバ環境で検証する。

検証モデル

4


検証内容

検証内容

検証モデルに対する検証機能、検証手段は下記とする。

各モデルにおいて下記項目を検証することで、DS導入時の性能面での影響範囲を検証する。

・レスポンスタイム差異

・使用リソースの変化

検証機能検証手段

モデル① DPI HTTPアクセス

モデル② FTPアクセス

5


検証環境

6


検証環境構成

7

※DS Manager ： PRIMERGY RX200 S5 その他： PRIMERGY RX300 S5

上記サーバにて検証しております。

DS Agent WindowsServer 2008 R2 PRIMERGY RX300 S5

Deep Security Agent RedHat EnterpriseLinux 6.1

PRIMERGY RX300 S5

Apache JMeter™

測定用クライアント

HTTPアクセス

FTPアクセス

Deep Security Manager

PRIMERGY RX200 S5


検証環境詳細

マシン名基本ソフトウェア CPU メモリ導入ミドル、アプリ

DS Manager Windows Server 2008 (x64)

Xeon X5570 2.93GHzx2 4GB Microsoft SQL Server 2008 Evaluation

TrendMicro Deep Security Manager 7.5 SP3

物理１ Windows Server 2008 (x64)

Xeon X5540 2.53GHzx2 4GB TrendMicro Deep Security Agent 7.5 SP3

物理２ Redhat Enterprise Linux 6.1

Xeon X5540 2.53GHzx2 4GB TrendMicro Deep Security Agent 7.5 SP3

DS Manager ： PRIMERGY RX200 S5 その他： PRIMERGY RX300 S5

物理サーバ

8


測定内容

HTTPアクセスにおけるDPI機能の性能（モデル①）

・Webシステムに対する複数クライアントによる同時多重アクセス時の、DPI機能の

導入影響を確認する。

FTPアクセスにおけるDPI機能の性能（モデル②）

・FTPサーバに対する大容量ファイル転送時の、DPI機能の導入影響を確認する。

上記について、以下の条件で確認する。

・Deep Security未導入

・Deep Security導入： DPI機能無効（メンテ時を想定）

・Deep Security導入： DPI機能有効

9


測定パターン

測定パターン一覧

測定パターン Agent導入/未導入機能有効/無効アクセス数

クライアント数クライアント毎のアクセス回数

HTTPアクセス

導入有効(※) 1,10,20,50 100,200

500

無効

未導入－

FTPアクセス導入有効(※) 1

無効

未導入－

※適用ルールは製品インストール時に提供されるセキュリティプロファイルを使用

・Windows： Windows Server 2008 (ルール数：148件)

・Linux: Linux Server (ルール数：87件)

10


測定方法

使用ツール（HTTPアクセス）

・Apache JMeter 2.5.1

- KeepAlive：無効

- 応答データサイズ：400KB(409,600byte)

・Windowsパフォーマンスモニタ

- サンプル間隔：1秒

- 採取対象データ

・vmstatコマンド

- サンプル間隔：1秒

測定対象オブジェクトカウンタインスタンス

CPU使用率 Processor Information % Processor Time _Total

メモリ使用量（物理メモリ）

Memory Available KBytes －

11


測定方法

使用ツール（FTPアクセス）

・FTPコマンド

- 転送データサイズ：1GB(1,073,741,824byte)

12


検証結果

13


HTTPアクセス（傾向と結果）

傾向

結果

DPI機能を有効にすることによる影響は、処理性能、使用リソース共に軽微である。

・処理性能

・使用リソース

未インストール時とDPI有効時を比較すると、Windows、LinuxいずれにおいてもDPI有効

時の全体レスポンスやスループットへの影響は2％前後である。（測定データ1,5参照）

CPU使用率：

未インストール時とDPI有効時を比較すると、最大CPU使用率の差は最大で10％前後

である（測定データ3,7参照）。

メモリ使用量：

処理数に応じてメモリ使用量が増加するが、未インストール時とDPI有効時の最大メモリ

使用量の差異は35MB前後である。（測定データ4,8参照）

14


HTTPアクセス（測定データ）

測定データ１： Apache Jmeter™に設定したスレッド多重度ごとの全体レスポンス時間

とスループット

測定データ２：動作中のレスポンスタイムの変化

測定データ３： CPU使用率

測定データ４：メモリ使用量

測定データ１～4 (Windows)

測定データ5～8 （Linux)

HTTPアクセスの測定データを次頁より示す。

測定データ５： Apache Jmeter™に設定したスレッド多重度ごとの全体レスポンス

時間とスループット

測定データ６：動作中のレスポンスタイムの変化

測定データ７： CPU使用率

測定データ８：メモリ使用量

15


HTTPアクセス（測定データ1）

HTTPリクエストの全体レスポンスタイム・スループット (Apache Jmeter™による計測値)

Windows(IIS7)：スループット(単位：Req/sec)

Windows(IIS7)：全体レスポンスタイム(単位：秒) ・DPI有効時（Windows：１４８ルール）

・DPI無効時（Windows：０ルール）

・未インストール時（Windows）

スレッド数ループ回数所要時間（分秒）スループット [Req./sec]

1 500 00:00:02.752 181.7

10 500 00:00:17.709 282.2

20 500 00:00:34.693 288.2

50 500 00:01:26.614 288.6

100 500 00:02:54.970 285.7

200 500 00:06:00.344 277.5


1 500 00:00:02.752 181.7

10 500 00:00:17.300 289.0

20 500 00:00:34.555 289.4

50 500 00:01:26.626 288.6

100 500 00:02:54.764 286.1

200 500 00:05:57.949 279.4


1 500 00:00:02.951 169.4

10 500 00:00:17.282 289.2

20 500 00:00:34.555 288.2

50 500 00:01:26.588 287.3

100 500 00:02:54.425 280.1

200 500 00:05:57.011 257.7

16



Windows ：レスポンスタイム(msec) スレッド数：１スレッド数：１0 スレッド数：20

スレッド数：50 スレッド数：１00 スレッド数：200

17



Windows ： CPU使用率(%)

スレッド数：１

最大CPU使用率(%)

スレッド数：１0 スレッド数：20


スレッド数未ｲﾝｽﾄｰﾙ DPI無効 DPI有効

1 2.73 3.32 5.86

10 4.10 6.45 13.67

20 3.91 7.42 17.38

50 8.79 18.36 17.19

100 4.10 12.11 23.65

200 8.01 7.81 18.75

18



Windows ：メモリ使用量(Kbyte)


最大メモリ使用量(Kbyte)




1 1,280 2,072 2,516

10 4,280 4,468 3,736

20 3,612 3,564 3,792

50 4,820 4,864 4,344

100 4,440 4,104 3,404

200 2,336 4,020 5,372

19



Linux(Apache2.2.15)：スループット(単位：Req/sec)

Linux(Apache2.2.15)：全体レスポンスタイム(単位：秒) ・DPI有効時（Linux：８７ルール）

・DPI無効時（Linux：０ルール）

・未インストール時（Linux）


1 500 00:00:08.457 59.1

10 500 00:00:20.406 245.0

20 500 00:00:35.532 281.4

50 500 00:01:28.096 283.8

100 500 00:02:59.687 278.3

200 500 00:06:35.779 252.7


1 500 00:00:03.562 140.4

10 500 00:00:17.384 287.6

20 500 00:00:34.797 287.4

50 500 00:01:27.747 284.9

100 500 00:02:58.035 280.8

200 500 00:06:33.731 254.0


1 500 00:00:03.548 140.9

10 500 00:00:17.477 286.1

20 500 00:00:34.682 288.2

50 500 00:01:27.019 287.3

100 500 00:02:58.481 280.1

HTTPリクエストの全体レスポンスタイム・スループット (Apache Jmeter™による計測値)

20



Linux ：レスポンスタイム(msec) スレッド数：１スレッド数：１0 スレッド数：20


21



Linux ： CPU使用率(%)


最大CPU使用率(%)




1 1.00 1.00 7.00

10 3.00 3.00 32.00

20 3.00 18.00 78.00

50 2.00 26.00 19.00

100 32.00 40.00 82.00

200 42.00 52.00 54.00

22



Linux ：メモリ使用量(Kbyte)


最大メモリ使用量(Kbyte)




1 1,116 4,228 2,872

10 7,994 12,148 21,528

20 16,988 24,676 40,540

50 45,392 55,332 68,096

100 78,644 86,472 112,708

200 134,616 144,696 166,824

23


24

FTPアクセス（傾向と結果）

傾向

結果

・処理性能

・使用リソース

未インストール時とDPI有効時を比較すると、Windowsの場合は３７％前後レスポンス時

間の増加がみられる。Linuxでは３％の増加にとどまる（測定データ1,3参照）。

・CPU使用率：

未インストール時とDPI有効時を比較すると、最大CPU使用率の差は最大で1％以内

である（測定データ2,4参照）。

・メモリ使用量：

未インストール時とDPI有効時の最大メモリ使用量の差異は１MB前後である。

（測定データ2,4参照）

DPI機能を有効にすることによる影響は、処理性能、使用リソース共に軽微である。


FTPアクセス（測定データ）

測定データ１～２ (Windows)

測定データ３～４ (Linux)

前頁の検証結果の元となるデータを次頁より示す。

測定データ１： FTPレスポンスタイム、スループット

測定データ２： CPU使用率、メモリ使用量

測定データ３： FTPレスポンスタイム、スループット

測定データ４： CPU使用率、メモリ使用量

25


FTPアクセス（測定データ1）

FTPレスポンスタイム・スループット

Windows：スループット（単位：Kbyte/sec）

Windows：レスポンスタイム（単位：秒）

未インストール DPI無効 DPI有効

9.49 11.21 12.99


113,081 95,780 83,132

26


27



21.42 21.60 21.58


12.31 12.41 14.67

FTP時リソース使用量

Windows: FTP転送中最大CPU使用率（単位：%）

Windows: FTP転送中平均CPU使用率（単位：%）

Windows: FTP転送中最大メモリ使用量（単位：Kbyte）


767,802 716,202 662,802



Linux：スループット（単位：Kbyte/sec）

Linux：レスポンスタイム（単位：秒）


11.3 11.3 11.6


94,919 94,993 92,734

FTPレスポンスタイム・スループット

28


29



32.41 32.42 32.55


19.57 19.73 22.27

FTP時リソース使用量

Linux: FTP転送中最大CPU使用率（単位：%）

Linux: FTP転送中平均CPU使用率（単位：%）

Linux: FTP転送中最大メモリ使用量（単位：Kbyte）


40,020 40,108 41,082


まとめ

30


31

まとめ

今回の測定では、業務システムの処理を除いた状態で計測しております。

この結果より、レスポンスタイム・スループットについては、いずれの検証モデ

ルにおいてもDPI機能の導入によるシステム全体への大きな影響は無いと考

えられます。

CPU使用率・メモリ使用量などのリソースは、導入による一定量の増加が確認

できますが、 Deep Securityが要求するシステム要件内に収まっております。

そのため、 Deep Securityのご導入をご検討いただく際は、業務システムが

求めるリソースにDeep Securityが要求するリソースを加味することで最適な

サイジングが可能となります。

現在のサーバが抱えているセキュリティ課題を仮想・クラウド・物理環境にまた

がって、トータルに解決する統合型サーバセキュリティソリューションです。

今回の検証結果に基づき、 PRIMERGYへのDeep Securityのご導入にあたって

は、今回の検証結果をご参考にしていただきたく存じます。


添付資料 Deep Security とは

32


IPS/IDS Webアプリケーション保護

ﾌｧｲｱｳｫｰﾙ

セキュリティログ監視

ウイルス対策

OSやアプリケーションの脆弱性を保護

SQLインジェクションやXSS等の攻撃からWebアプリを保護

DoS攻撃など不正な通信を防御

ファイルやレジストリ等の変更を監視

OSやミドルウェアのセキュリティイベントを集中監視

ウイルスをリアルタイム検索、スケジュール検索

エージェント型による保護＋VMWareを活用したエージェントレス保護

５つの保護モジュール

変更監視

Deep Securityとはサーバとアプリケーションを保護

Deep Securityが一貫したセキュリティ対策をご提供

物理/仮想/クラウド環境を問わず可能なサーバセキュリティ

33


公的DB 登録

Deep Security 仮想パッチリリース

各ベンダー正規パッチリリース

仮想パッチ適用正規パッチ適用仮想パッチ解除

脆弱性発覚！

慌てず、安心して検証作業可能！

Time line

当てるべき仮想パッチの自動選定（推奨スキャン機能） Deep Securityの推奨スキャン機能を利用すると、対象のホストのOSやミドルウェアをチェックし、必要となるシグネチャー（仮想パッチ）を自動的に選定・適用します。

仮想パッチ利用によりサーバ管理者の作業負荷軽減仮想パッチとは、ソフトウェアの脆弱性に対応するソフトウェアベンダーが提供する本来のパッチとセキュリティ的に同等のソリューションを提供するシグネチャを呼ぶ。本来のパッチはソフトウェアそのものに適用するため、予期せぬ障害が発生する可能性があるが、仮想パッチはあくまでも、対象となる攻撃をシグネチャで防御するものであるため、ソフトウェアの稼動には影響を与えない。よって、本来のパッチの検証作業を十分に行ってから適用が可能。

仮想パッチによるお客様のベネフィット

1. ベンダーの正規パッチリリースが遅れても未然に脆弱性を保護できる

2. 正規パッチの適用作業スケジュールを柔軟にコントロールできる

正規パッチ検証作業お客さまの作業

Deep Securityの仮想パッチ機能

34


CVE-2000-1205 CVE-2002-0081

リコメンドスキャン機能 “自動推奨スキャン機能”

リコメンドスキャン機能を使うことでAgentが自動でサーバ内のシステム情報をScanし、サーバ上にある脆弱性の穴を見つけます。また、そこに対する必要なシグネチャー”仮想パッチ”を自動で適用します。結果的にサーバは、必要な保護だけを適切に自動で受けることが可能となります。

DS Manager

WebServer

DatabaseServer

DS Agentが、サーバ上のOS上の各種情報”起動サービス、インストールモジュール、設定情報”などを取得。それら情報を基にサーバ内にある脆弱性を見つけ、その情報をManagerに送信します。

Managerはサーバ側で発見された脆弱性に対するシグネチャー"仮想パッチ"のリストを Agentへ配信します。結果、サーバの脆弱性は必要な仮想パッチを用いて必要な保護を受けることができます。

管理者様はサーバ内の脆弱性の管理や、脆弱性を狙った攻撃から解放されます。最小限の負荷で、最適な保護を受けることが可能です。これまでのIDS/IPSなどの製品では、管理者様自身でシグネチャーの適用を行っていましたが、その運用負荷から解放されます。

解決可能なペインポイント

CVE-2006-0265 CVE-2008-0107

※本機能はAgent版のみ利用可能です。

Deep Securityの仮想パッチ機能の優位性

35

https://labs.thirdbrigade.com/CustomerVulnerabilityDatabase.screen?viewType=2&vulnerabilityID=537
















VMware vSphere 4

Deep Security Virtual Appliance

VMsafe API

サーバ環境に柔軟なソリューションを提供

ファイルレジストリ変更監視

セキュリティログ監視

ファイアウオール

IPS/IDS Webアプリ保護

ウイルス対策

(Windows)

ファイアウオール

IPS/IDS Webアプリ保護

VMware vCenter

VMware vShield Manager

Agentをインストールして保護

Virtual Appliance による保護

vShield Endopoint Security（ウイルス対策）

Deep Securityは、VMware環境においてArgentとVirtual Applianceによる保護を提供します。ゲストOS単位のエージェントによる保護と、 VMsafe APIと連携したバーチャルアプライアンスによる仮想化環境全体を保護することが可能です。また、最新のDS7.5ではvShield Endpointと連携し、エージェントレスでゲストOSのウイルス対策機能を提供することが可能です。 ※ウイルス対策の対象のゲストOSはWindowsのみとなります

36


添付資料富士通ソフトウェアテクノロジーズ

Deep Securityの構築サービスご紹介

37

All Rights Reserved, Copyright(C) Fujitsu Software Technologies Limited 2012

Deep Securityの構築サービスご紹介

環境調査運用工程

①Deep Security基本セットアップ（Virtual Appliance版）

Deep SecurityのVirtual Applianceを使用するために必要な基本セットアップを

実施します。小～中規模の仮想化環境向けのサービスです。

②Deep Security基本セットアップ（エージェント版）

Deep Securityのエージェント版を使用するために必要な基本セットアップを

実施します。小～中規模環境向けのサービスです。

③導入支援

大規模向け仮想化環境へ導入するためのサービスです。環境や運用要件を

ヒアリングしお客様のご要件に合わせたシステム構築を実施します。

※期間は目安となり、対象環境の規模により変動いたします。

適用設計要件定義構築運用準備

期間

1W 2W 3W 2W 1W～

支援

内容

適用設計構築製品

保守運用研修

38

All Rights Reserved, Copyright(C) Fujitsu Software Technologies Limited 2012

Deep Securityの構築サービス作業概要

［作業内容］

ヒアリングシート確認/基本設計

Deep Security マネージャ/ Virtual Appliance インストール

Microsoft® SQL Server 導入（ Deep Security マネージャ用）

Deep Security 基本設定、動作確認

［期間］

2週間～（VMware vSphere ™ 1システムの場合）

［作業内容］

ヒアリングシート確認/基本設計

Deep Security マネージャ/ Agent インストール

Microsoft SQL Server 導入（ Deep Security マネージャ用）

Deep Security 基本設定、動作確認

［期間］

3週間～（ 3OSの場合）

①Deep Security基本セットアップ（Virtual Appliance版）

②Deep Security基本セットアップ（エージェント版）

③導入支援

［作業内容］

お客様のご要望に併せ、作業内容をご提案します。

39

登録商標について

Trend Micro、 Deep Securityおよびトレンドマイクロ株式会社のその他の製品名称は、トレンドマイクロ株式会社の商標又は登録商標です。

Microsoft 、 Microsoft SQL Serverは、米国 MicrosoftCorporationの米国及びその他の国における登録商標または商標です。

VMware、vSphereはVMware, Inc.の米国および各国での商標または登録商標です。

本資料に記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。なお、本文および図表中では、必ずしも「 ™ 」、「 ® 」は明記しておりません。

All Rights Reserved, Copyright(C) Fujitsu Software Technologies Limited 2012 40


トレンドマイクロ株式会社

法人お問い合わせ窓口・電話番号：03-5334-3601 ・弊社ホームページからお問い合わせいただく場合 https://reg26.smp.ne.jp/regist/is?SMPFORM=pco-pdsa-404ee2bf475f3d4467d073fe49ba127d ・営業時間月曜日～金曜日の9：00～12：00、13：00～18：00 ※ただし祝祭日および、その振替日を除きます ※お手数ではございますが、お問い合わせ時には「富士通関連でのお問い合わせ」とお話下さい。

41

本件に関するお問い合わせ先

trend micro deep security 7.5 性能検証報告書...trendmicro deep security manager 7.5 sp3...

Documents