ビュー:
  1. Cloud One Network Securityとは?
  2. Cloud One Network Securityから古いインスタンスを削除するにはどうすればよいですか?
  3. Cloud Oneアカウントで展開できるNetwork Securityのインスタンス数に制限はありますか?
  4. サポートチケットを作成するにはどうすればよいですか?
  5. 自分のネットワークに適したインスタンスサイズを選ぶにはどうしたらよいですか?正しいインスタンスタイプを選択するために、他にどのような推奨事項がありますか?
  6. 私たちのさまざまな展開に必要な要件は何でしょうか?
  7. IPS Block EventsがCloudWatchのログに表示されないのですが、どうすれば見ることができますか?
  8. AWSでスループット/使用量を監視するにはどうすればよいですか?
  9. CPUが高い時間帯があるのですが。これは正常なのでしょうか?
  10. サブスクリプションや検査ライセンスについて、営業に問い合わせるにはどうしたらいいですか?
  11. Cloud One Network Securityが保護しているCVEは、どこで確認できますか?
  12. C1NSのZDIフィルターにFPGAインスタンスタイプは必要でしょうか?
  13. Cloud One Network Securityの「エッジプロテクション展開」は、AWS APIゲートウェイからのトラフィックも保護するのでしょうか。
  14. 対応するAWSインスタンスの種類と対応する検査スループットの一覧はありますか?

1. Cloud One Network Securityとは?

Trend Micro Cloud One - Network Security は、TippingPoint IPS/TPSの技術をベースにした、マイクロサービス駆動型のクラウドネイティブなネットワークIPS サービスです。

 

2. Cloud One Network Security から古いインスタンスを削除するにはどうすればよいですか?

 

3 Cloud Oneアカウントで展開できるNetwork Securityのインスタンス数に制限はありますか?

デフォルトでは、4インスタンスまでとなります。この制限を増やしたい場合は、サポートにご連絡ください。

 

4. サポートチケットを作成するにはどうすればよいですか?

  • 任意のCloud One管理ポータルページの右上にあるHelpボタンをクリックし、Supportを選択します。※チケットを作成する際、カテゴリのドロップダウンメニューから「Cloud One - Network Security」を選択してください。
 

5. 自分のネットワークに適したインスタンスサイズを選ぶにはどうしたらよいですか?正しいインスタンスタイプを選択するために、他にどのような推奨事項がありますか?

  • AWS c5.xlargeとAzure F8sv2は、1Gbps以上の平文インターネットトラフィックのDPIオペレーションをサポートすることが可能です。※これは、一般的なサイズのVPC/vNetが生成できる量よりも多いです。
  • 少数のNetwork Security Virtual Appliance (NSVA) ではVPC(またはマルチVPC環境)内のすべてのネットワーク負荷を検査するには不十分な場合、ゲートウェイロードバランサーのアプローチを使用することをお勧めします。これは、よりコスト効率の高いc5.xlargeインスタンスタイプで動作するNSVA群間で負荷分散し、より高価なC5インスタンスタイプにインスタンスを垂直スケールする必要がないようにします。
    • コンピュート・インスタンス・タイプを高価なものに変更すると、インスタンス・コストが約100%増加することがあります
  • ネットワークインフラの一部として、NSVA は24/7/365の稼働が必須です。本番用のリザーブドインスタンスは、インフラ要件を満たすだけでなく、インフラコストを最大30~40%削減することができます。
 

6. C1NS のさまざまな展開に必要な要件は何でしょうか?

 Option #1: Edge Protection for single VPC
  • インフラストラクチャー要件
    • インターネットゲートウェイが接続されたワークロードVPC
    • 公開されたサブネット ※デフォルトのVPCルートテーブルではなく、独自のルートテーブルが関連付けられている必要があります。
      • インターネットゲートウェイへ全トラフィックをルーティングするルート(0.0.0.0 >> インターネットゲートウェイ)
    • パブリックサブネットのNATゲートウェイ
    • (オプション)プライベートサブネット ※デフォルトのVPCルートテーブルではなく、独自のルートテーブルが関連付けられている必要があります。
      • Nat ゲートウェイ へ全トラフィックをルーティングするルート(0.0.0.0 >> Nat ゲートウェイ)
  • AWS Identity and Access Management (IAM) で NSVA 用の新しいロールとポリシーを作成するための権限
 
 Option #2: Inspect Inbound internet traffic with Gateway Load Balancer - Multi-VPC
  • インフラストラクチャー要件
    • インターネットゲートウェイが接続されたワークロードVPC
    • 公開されたサブネット ※デフォルトのVPCルートテーブルではなく、独自のルートテーブルが関連付けられている必要があります。
      • インターネットゲートウェイへ全トラフィックをルーティングするルート(0.0.0.0 >> インターネットゲートウェイ)
    • (オプション)およびパブリックサブネットのNATゲートウェイ(プライベートワークロードのための保護されたアウトバウンドアクセス用)
    • (オプション)プライベートサブネット ※デフォルトのVPCルートテーブルではなく、独自のルートテーブルが関連付けられている必要があります。
      • Nat ゲートウェイ へ全トラフィックをルーティングするルート(0.0.0.0 >> Nat ゲートウェイ)
  • AWS Identity and Access Management (IAM) で NSVA 用の新しいロールとポリシーを作成するための権限
 Option #3: Inspect outbound internet traffic and lateral traffic - Multi-VPC
  • インフラストラクチャー要件
    • ワークロードVPC
      • トランジットゲートウェイへのアタッチ
      • Transit Gateway Route Tablesで経路を制御している(サードパーティ製機器やアプライアンスではない)。
  • AWS Identity and Access Management (IAM) で NSVA 用の新しいロールとポリシーを作成するための権限
 

7. IPS Block EventsがCloudWatchのログに表示されないのですが、どうすれば見ることができますか?

  • C1NSのインスタンスにポリシーが配布されていることを確認します。 なお、ロググループ「ips」はデフォルトで作成されていますが、CloudWatchのモニタリングはデフォルトでは有効になっていないため、ポリシーが配布されていたことを確認した後、設定が有効になっているかを確認します。https://cloudone.trendmicro.com/docs/network-security/Manage_Network_Security_instances/
 

8. AWSでスループット/使用量を監視するにはどうすればよいですか?

  • EC2インスタンスのスループット:CloudWatchのメトリクスで確認することができます。
  • VPCに出入りするトラフィック:VPCフローログを使用することでより深く理解することができます。
  • AWSサービスの利用状況や関連コスト:AWS Billing & Cost Management のツールやレポートを使用することで確認することができます。
 

9. CPUが高い時間帯があるのですが。これは正常なのでしょうか?

  • 多くの場合、NSVA では CPUの使用率が高く、時には5~10分間隔になることもありますが性能低下のリスクはありません。CPUは常にトラフィックを検査しているため、このような動作は正常です。 ※CPU 使用率を把握することは、輻輳および検査状態と共にアプライアンスの健全性を監視する際に役立ちます。
  • アプライアンスのヘルス通知については、以下を参照してください。 https://cloudone.trendmicro.com/docs/network-security/performance_notifications/
 

10. サブスクリプションや検査ライセンスについて、営業に問い合わせるにはどうしたらいいですか?

  • お客様は、Cloud One Network Securityのコンサンプション・ベース価格を、以下の方法で申し込むことができます。AWS MarketPlace.
  • 既存のトレンドマイクロのお客様は、年間スループットライセンスについて、担当営業またはアカウントチームにご相談ください。
 

11. Cloud One Network Securityが対応しているCVEは、どこで確認できますか?

  • CVEを検索するには、Cloud Oneコンソールにログインして、Filter セッティング箇所で確認してください。 Cloud One Console >> Network Security >> Policy >> Intrusion Prevention Filtering.
 

12. C1NSのZDIフィルターにFPGAインスタンスタイプは必要でしょうか?

  • 現在、ZDIフィルターに対応するためには、F1インスタンスタイプが必要です。将来的には、他のEC2インスタンスタイプでZDIフィルタをサポートするための取り組みが進行中です。
 

13. Cloud One Network Securityの「Option #1: Edge Protection for single VPC」は、AWS APIゲートウェイからのトラフィックも保護するのでしょうか?

  • 保護します。しかし、API GWはhttp(s)プロキシとして設定する必要があります。※プライベートリンクエンドポイントとして設定することはできません。プライベートリンクエンドポイントは、C1NS のエッジプロテクション展開の検査をスキップします。
 

14. 対応するAWSインスタンスの種類と対応する検査スループットの一覧はありますか?

Cloud Service ProviderCompute InstanceNormal Network CapacityBurst Network CapacityAverage VPC/vNet Capacity
AWS EC2c5.xlarge1Gbps2Gbps1-3Gbps
c5.2xlarge2Gbps4Gbps3-5Gbps
c5.4xlarge4Gbps8Gbps5-10 Gbps
Azure VMF8sv22Gbps4Gbps2-4Gbps
F16sv24Gbps8Gbps4-8Gbps