ビジネスサポートポータルアカウントでログイン
 

AWS Auto Scalingによって作成したインスタンスをDeep Security Agentで自動的に保護する方法(Cloud One - Workload Security)

    • 更新日:
    • 9 Jun 2021
    • 製品/バージョン:
    • Cloud One - Workload Security All
    • OS:
概要

※本製品Q&Aでは、以下の略語を使用します。

  • AWS Auto Scaling/AWS オートスケーリング → Auto Scaling
  • Deep Security Agent → DSA
  • Cloud One - Workload Security → C1WS

 

Auto Scalingによって作成したインスタンスをC1WSのDSAで自動的に保護するには以下の3種類の方法があります。

  1. インストールスクリプトでDSAをインストール/有効化する
  2. DSAをインストールし無効化した状態のAMIを作成する
  3. DSAをインストールし有効化した状態でBacked AMIを作成する
この製品Q&Aでは、それぞれについて詳しく説明します。
ご利用の環境・要件に適した方法をご選択ください。
詳細
Public

事前準備

  • この製品Q&Aは、C1WSにてDSAのインストール/有効化/ポリシーの設定・割り当てなどの基本操作を行った経験のある方を対象としています。C1WSをはじめてご利用の方は、Cloud One - Workload Security Welcomeページをご活用ください。

  • 通信要件が設定済であることを確認します。

  • DSAからのリモート有効化を許可します(参考手順)。

  • AWSアカウントを Cloud One - Workload Securityと連携します(参考手順)。

  • DSAをインストールしたAMIを使用する場合(方法2と3が該当)は、AMIを適宜更新してDSAを最新化しておくことを推奨します。 「 Agentを有効化するときに自動的にアップグレードする」の利用により、Auto Scalingで作成されたインスタンス内のDSAが有効化された際に、DSAを自動的に指定のバージョンにアップグレードすることも可能です。


1.インストールスクリプトでDSAをインストール/有効化する

  • 本手順はヘルプセンター内ドキュメント「AWS Auto Scalingと Workload Security」における「インストールスクリプトでAgentをインストールする」の方法に該当します。

  • Windowsの場合、注意が必要なポイントがございます。同ドキュメントの「インストールスクリプトでAgentをインストールする」セクションの「注意」も合わせてご確認ください。

  • DSAが有効化コマンドを実施しC1WSに有効化のための通信を行います。そのため、DSAからC1WSへの通信が行える必要があります。

実施手順
  1. DSAがインストールされていないAMIを作成します。AMIは停止したコンピュータから作成する必要があります。

  2. 以下の手順を参照し、インストールスクリプトを作成します。

    1. C1WSコンソール右上の[サポート情報]→[インストールスクリプト]を開きます。

    2. [インストール後にAgentを自動的に有効化]にチェックを入れます。

    3. プラットフォームやセキュリティポリシーの選択など、表示された項目に従って設定を行います。

    4. [クリップボードにコピー]を選択します。(ファイルとして保存することも可能です。)

    5. コピーしたインストールスクリプトをAWS側で起動設定のユーザデータに設定するなどして、起動後のインスタンス上で管理者権限で実行します。

  3. Auto Scalingでインスタンスが作成・起動されると、インストールスクリプトによりDSAインストール、有効化コマンドの実施、ポリシーの割り当てが行われ、インスタンスの保護が開始されます。


2.DSAをインストールし無効化した状態のAMIを作成する

  • 本手順はヘルプセンター内ドキュメント「AWS Auto Scalingと Workload Security」における「Agentをプレインストールする」の方法に該当します。

  • C1WSとDSA間の通信に関して、手順3にて「インストールスクリプト内のコマンドを使用する方法」の場合はDSAが有効化コマンドを実施しC1WSに有効化のための通信を行います。 そのため、DSAからC1WSへの通信が行える必要があります。
    「イベントベースタスク「コンピュータの作成 (システムによる)」を使用する方法」 の場合、C1WSがDSAに有効化コマンドを実施します。そのためC1WSからDSA(4118ポート)への通信が行える必要があります。

実施手順
  1. AMIのマスターとなるインスタンスにDSAをインストールします(参考手順)。

    既に有効化済みのDSAを使用する場合は無効化を実施します(参考手順) 。

  2. Auto Scaling用のAMIを作成します。

  3. 「インストールスクリプト内のコマンド」か「イベントベースタスク「コンピュータの作成 (システムによる)」」いずれかの方法で、インスタンス上のDSAの有効化とポリシーの割り当てを行うための設定を行います。

    • インストールスクリプト内のコマンドを使用する方法

      1. C1WSコンソール右上の[サポート情報]→[インストールスクリプト]を開きます。

      2. プラットフォームやセキュリティポリシーの選択など、表示された項目に従って設定を行います。

      3. 画面をスクロールし、インストールスクリプトの最後に表示された「dsa_control -a」で始まるコマンドをコピーします。

        コマンド:

        dsa_control -a dsm://{ManagerのURL}:443/ "tenantID:XXX" "token:XXX" "policyid:X"

        DSAの起動後にユーザデータなどに設定された dsa_control -a コマンドが実行され、有効化が行われます。コマンドのコピー後は実際のDSAインストール環境に合わせてコマンドを整形ください。 また、整形をいただく際は余分なコーテーション(")などが含まれていないかご確認ください。 以下は初期設定のインストールパスを指定した dsa_control -a の実行例です。

        Linux環境の場合:

        /opt/ds_agent/dsa_control -a dsm://{ManagerのURL}:443/ "tenantID:XXX" "token:XXX" "policyid:X"

        Windows環境の場合:

        C:\Program Files\Trend Micro\Deep Security Agent\dsa_control -a dsm://{ManagerのURL}:443/ "tenantID:XXX" "token:XXX" "policyid:X"

      4. コマンドをAWS側で起動設定のユーザデータに設定するなどして、起動後のインスタンス上で管理者権限で実行します。

    • イベントベースタスク「コンピュータの作成 (システムによる)」を使用する方法

      1. C1WSコンソールで[管理]→[イベントベースタスク]を開きます。

      2. [新規]をクリックします。

      3. タスク実行の契機となるイベントで[コンピュータの作成 (システムによる)]を選択します。

      4. [コンピュータの有効化]にチェックを入れます。
        [有効化の遅延]の値は環境によりチューニングが必要です。詳しくは「イベントベースタスクで有効化に失敗する場合のトラブルシューティング」をご参照ください。

      5. [ポリシーの割り当て]にチェックを入れ、割り当てたいポリシーを選択します。

      6. 必要に応じてコンピュータグループなど他の項目も設定し、次へ進みます。

      7. 一致条件を設定し、タスクの作成を完了します。

      8. これにより、条件に合致する新しいインスタンスが作成されたことをトリガとしてイベントベースタスクが実行され、DSAの有効化とポリシーの割り当てを行うことができます。
        イベントベースタスクについて詳しく知りたい場合は「コンピュータの追加または変更時にタスクを自動的に実行する(イベントベースのタスク)」をご参照ください。

  4. AMIからAuto Scalingでインスタンスが作成・起動されると、コマンドまたはイベントベースタスクによって有効化とポリシーの割り当てが行われ、インスタンスの保護が開始されます。


3.DSAをインストールし有効化した状態でBakedAMIを作成する

  • 本手順はヘルプセンター内ドキュメント「 エージェントをAMIまたはWorkSpaceバンドルにインストールする」の方法に該当します。

  • 通常、有効化済のDSAがコンピュータのクローンなどで複製された場合、DSA内のGUIDが同じであるためC1WSでは1台のDSAとみなされます。 新規のDSAとみなすため本来はDSAを有効化する前に一度無効化を実施する必要がございますが、本手順では起動時に有効可済みのDSAからC1WSへの通信が行われた際、C1WSが新規のDSAと検知し新規のDSAとして自動的に有効化処理を実施します。

実施手順
  1. AMIのマスターとなるインスタンスにDSAをインストールし、有効化します。

  2. (任意) マスターインスタンスのDSAにポリシーを割り当てます。

  3. Auto Scalingで作成されたインスタンスにポリシーを自動で割り当てるためのイベントベースタスクを作成します。
    1. C1WSコンソールで[管理]→[イベントベースタスク]を開きます。

    2. [新規]をクリックします。

    3. タスク実行の契機となるイベントで[Agentからのリモート有効化]を選択します。 インスタンスの新規作成を検知する場合はコンピュータの作成(システムによる)を選択します。

    4. [ポリシーの割り当て]にチェックを入れ、割り当てたいポリシーを選択します。

    5. 必要に応じてコンピュータグループなど他の項目も設定し、次へ進みます。

    6. 一致条件を設定し、タスクの作成を完了します。

    7. これにより、条件に合致する新しいインスタンスが作成されたことをトリガとしてイベントベースタスクが実行され、ポリシーの割り当てを行うことができます。
      イベントベースタスクについて詳しく知りたい場合は「コンピュータの追加または変更時にタスクを自動的に実行する(イベントベースのタスク)」をご参照ください。

      ヒント:

      マスターインスタンスにタグを追加し、そのタグの値を元にイベントベースタスクの一致条件を設定することで、Auto Scalingで同じマスターから作成されたコンピュータに対して簡単に同じポリシーを設定できます。

      例えば、マスターインスタンスにTagKey:EC2, TagValue:Trueを設定した上で、イベントベースタスクの一致条件を以下のように設定できます。
      [クラウドインスタンスのメタデータ] = EC2 : True

  4. AWSのドキュメントを参照し、Baked AMIまたはまたはカスタムWorkSpaceバンドルを作成します。
    エージェントをAMIまたはWorkSpaceバンドルにインストールする|マスターに基づいて AMI またはカスタム WorkSpace バンドルを作成する」に記載のリンク先を参照してください。

  5. AMIからAuto Scalingでインスタンスを作成・起動します。
    インスタンスが起動すると、DSAも自動的に起動し、C1WSに接続して自身を有効化します。

Premium
Internal
Partner
評価:
カテゴリ:
Configure; Install
Solution Id:
000286657
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド