この記事は、ニフクラブログで2019-04-17に公開された記事を移転したものです。
こんにちは、ニフクラテクニカルアカウントチームです。
クラウド環境におけるセキュリティの向上はクラウドユーザーにとって関心の高いテーマの一つです。昨今、複雑・巧妙化するさまざまな脅威に対応するために「多層防御」が重視されていますが、どうしてもシステムが複雑になりがちです。
ニフクラでは、サーバー向けクラウド型セキュリティであるTrend Micro Deep Security as a Service(以下、DSaaS)をソリューションサービスとして提供しています。
DSaaSを導入することで、お客様側で管理サーバーを構築することなく、手軽にセキュリティ対策を行うことができます。
今回はWebプロキシを利用し、共通グローバルに繋がっていないサーバーに対してDSaaSを導入してみました。
前提条件
本ブログは、以下の前提知識がある方を想定しています。
- ニフクラの基本的なコントロールパネルの操作、サービスを利用する知識
(サーバー作成、ネットワーク構築など) - Windows、Linuxの基本的な操作、知識
検証概要
本ブログは、以下の検証を実施しています。
- Deep Security Agent(以下、DSA)をWindows、Linuxサーバーに導入し、Deep Security Manager(以下、DSM)の管理コンソール上で侵入防御と不正プログラム対策の設定を行う。
- ルーターのWebプロキシ経由でDSaaSの定義ファイルを更新する。
利用リソース
本検証を実施するにあたり、利用したニフクラのリソース情報に関して以下に記載します。
※各リソースのアクセス制限に関しては、ニフクラのファイアウォール等を用いて適切に設定の上実施しています。
リソース | 数量 |
---|---|
仮想サーバー(サーバーOS:Windows Server 2016、CentOS7.5) | 2 |
プライベートLAN | 1 |
ルーター | 1 |
DSAのインストーラ情報について以下に記載します。
※本検証結果は以下バージョンでの検証結果となります。
インストーラ | バージョン | 数量 |
---|---|---|
Agent-Core-Windows | 11.3.0-202 | 1 |
Agent-Core-RedHat_EL7 | 11.3.0-168 | 1 |
リソースの名称やIPアドレスは以下のように設定しています。
リソース | ホスト名 | プライベートIPアドレス |
---|---|---|
サーバー(Windows Server 2016) | DSaaS01 | 192.168.1.10 |
サーバー(CentOS 7.5) | DSaas02 | 192.168.1.20 |
ルーター | - | 192.168.1.254 |
プライベートLAN | - | 192.168.1.0/24 |
ルーターのWebプロキシ設定およびファイアウォールのINルールは以下のように設定しています。
※本検証では、OUTルールの設定は行っていません。(制限していません。)
設定項目 | 設定値 |
---|---|
受け側ネットワーク | プライベートLAN名 |
受け側ポート | 8080 |
迂回側ネットワーク | 共通グローバル |
プロトコル | ポート | 接続元種別(IPアドレス) | 備考 |
---|---|---|---|
TCP | 8080 | 192.168.1.10 | Webプロキシ利用でのDSaaS通信用 |
UDP | 53 | 192.168.1.10 | DNS用 |
TCP | 8080 | 192.168.1.20 | Webプロキシ利用でのDSaaS通信用 |
UDP | 53 | 192.168.1.20 | DNS用 |
検証内容
DSAのインストールから、侵入防御・不正プログラム対策の設定までを行います。
最後にDSaaSの定義ファイルが更新できることを確認します。
1)DSaaSアカウント登録
初めにDSaaSアカウントの登録を行います。
※ここでは、DSaaSのお申込みに関する手順は省略させて頂きます。
お申込み手順は、以下を参照してください。
サーバー向けクラウド型セキュリティ(Trend Micro Deep Security as a Service)
お申込み後、ライセンス追加のご連絡のメールが届きます。
メール受領後から導入までの流れを記載します。
■管理コンソールへのログオン
Trend Micro Deep Securityの登録フォームへアクセスし、「Create an Account」をクリックします。
アカウント情報を適宜入力後、ライセンスの同意にチェックを入れ、「Sign Up」をクリックします。
アカウント登録のメールを受領後、メール内に記載されたURLにアクセスします。
アカウント情報を入力し、ログオンします。
DSMの管理コンソールにログオンしたことを確認します。
■デモ用コンピュータの無効化と削除
新規登録を行うと、DSaaSの各機能が準備されたデモ用コンピュータが用意されています。
サービスの利用時には削除を行います。
画面上部の「コンピュータ」タブをクリックします。
対象のデモ用コンピュータを右クリックし、「処理」- 「無効化」をクリックします。
ステータスが非管理対象となることを確認します。
対象のデモ用コンピュータを右クリックし、「削除」をクリックします。
■Activation Codeの入力
画面上部のアカウント名をクリックし、「アカウントの詳細」を選択します。
「有償版にアップグレード」をクリックします。
アクティベーションコードの入力欄に、ライセンス追加のご連絡メールに記載されたコードを入力し、「アクティベーションコードの入力」をクリックします。
2)DSAインストール
管理コンソールからインストーラをエクスポートして保護対象となるサーバーに配備し、DSAをインストールします。
※保護対象サーバーへのインストーラモジュールの配備方法については割愛させて頂きます。
■Windowsへのインストール
管理コンソールにアクセスし、画面上部の「管理」タブをクリックして、左ペインから「ソフトウェア」-「ローカル」をクリックし、適用するインストーラを選択します。
「エクスポート」-「インストーラのエクスポート」をクリックします。
保護対象サーバーでインストーラを実行し、「次へ」をクリックします。
使用許諾契約書の同意にチェックを入れ、「次へ」をクリックします。
「次へ」をクリックします。
「インストール」をクリックします。
「はい」をクリックします。
「完了」をクリックします。
管理コンソール画面上部の「サポート情報」-「インストールスクリプト」をクリックします。
プラットフォームからインストール対象のOSを選択し、「インストール後にAgentを自動的に有効化」がチェックされていることを確認後、「クリップボードにコピー」をクリックします。
コピーしたコードをテキストエディタなどに貼り付けて「dsa_control" -a dsm://」が含まれる行を抜き出します。
抜き出した行から、「dsa_control" -a dsm://」より前の部分と「dsa_control" -a dsm://」の「"」を削除します。
管理者権限でコマンドプロンプトを起動し、DSAのインストールフォルダに移動後、抜き出したコードと併せて下記のコマンドを実行します。
※プロキシのIPとポート番号は適宜変更してください。
※各コマンドの詳細については、トレンドマイクロの情報をご確認ください。
※外部サイトのため、リンク切れの際はご容赦ください。
>dsa_control -x "dsm_proxy://192.168.1.254:8080/" >dsa_control -y "relay_proxy://192.168.1.254:8080/" >dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:xxxxxxxxxx" "token:xxxxxxxxxx"
管理コンソール画面上部の「コンピュータ」タブをクリックし、保護対象サーバーのステータスが管理対象と表示されることを確認します。
■Linuxへのインストール
Windowsへのインストールと同じ手順でLinux用のインストーラをエクスポートし、保護対象サーバーに配置してインストーラを実行します。
# cd <インストーラ配備パス> # rpm -i Agent-Core-RedHat_EL7-11.3.0-168.x86_64.rpm Host platform - NAME="CentOS Linux" Starting ds_agent (via systemctl): [ OK ]
Windowsへのインストールと同じ手順でLinux用のスクリプトをコピーします。
コピーしたコードから、「/opt/ds_agent/dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:xxxxxxxxxx" "token:xxxxxxxxxx"」の行を抜き出します。
抜き出したコードと併せて下記のコマンドを実行します。
# /opt/ds_agent/dsa_control -x "dsm_proxy://192.168.1.254:8080/" # /opt/ds_agent/dsa_control -y "relay_proxy:/192.168.1.254:8080/" # /opt/ds_agent/dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:xxxxxxxxxx" "token:xxxxxxxxxx"
# /opt/ds_agent/dsa_control -x "dsm_proxy://192.168.1.254:8080/" HTTP Status: 200 - OK Response: Add proxy-address:[dsm_proxy] with value:[dsm_proxy://192.168.1.254:8080/] # /opt/ds_agent/dsa_control -y "relay_proxy:/192.168.1.254:8080/" HTTP Status: 200 - OK Response: Add relay proxy-address:[relay_proxy] with value:[relay_proxy://192.168.1.254:8080/] # /opt/ds_agent/dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:xxxxxxxxxx" "token:xxxxxxxxxx" Activation will be re-attempted 30 time(s) in case of failure dsa_control HTTP Status: 200 - OK Response: Attempting to connect to https://agents.deepsecurity.trendmicro.com:443/ <以下省略>
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象サーバーのステータスが管理対象と表示されることを確認します。
以上でDSAのインストール作業は終了になります。
3)DSaaSの通信方向設定
本検証では、DSMとDSA間の通信は、DSAからの片方向通信とします。
ここでは通信方向の設定方法について記載します。
■DSAからの片方向通信設定
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。
左ペインから「設定」をクリックし、「一般」タブから通信方向に「Agent/Applianceから開始」を選択し、「保存」をクリックします。
4)侵入防御設定
侵入防御モジュールの有効化とスケジュール設定を行い、仮想パッチを自動適用します。
■侵入防御モジュールの有効化
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。
左ペインから「侵入防御」をクリックし、「一般」タブから「侵入防御」の設定を「オン」にし、「侵入防御の動作」が「防御」となっていることを確認します。
「推奨設定」の「侵入防御の推奨設定を自動的に適用(可能な場合)」を「はい」にし、「保存」をクリックします。
■推奨設定検索のスケジュール作成
管理コンソール画面上部の「管理」タブをクリックし、左ペインから「予約タスク」-「新規」をクリックします。
「種類」を「コンピュータの推奨設定を検索」にし、頻度を選択後、「次へ」をクリックします。
スケジュール詳細を設定し、「次へ」をクリックします。
「すべてのコンピュータ」を選択し、「次へ」をクリックします。
※個別に設定を行う場合は、「コンピュータ」を選択し、適宜指定をします。
タスクの名前を入力し、「タスクの有効化」にチェックを入れ、「完了」をクリックします。
※完了をクリック後、一回目の推奨設定の検索が行われます。
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。
左ペインから「侵入防御」をクリックし、「一般」タブから「推奨設定」の現在のステータスに、侵入防御ルールが割り当てられていることを確認します。
「現在割り当てられている侵入防御ルール」で自動的に洗い出されたルールが適用されていることを確認します。
]
5)不正プログラム対策設定
不正プログラム対策を有効化し、スケジュール設定を行います。
■不正プログラム対策の有効化
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。
左ペインから「不正プログラム対策」をクリックし、「一般」タブから「不正プログラム対策」の設定で「オン」を選択し、「保存」をクリックします。
対象のコンピュータを再起動します。
管理コンソール画面上部の「管理」タブをクリックし、左ペインから「システム設定」-「プロキシ」タブをクリックします。
「プロキシサーバ」の「新規」-「新しいプロキシサーバ」をクリックします。
新しいプロキシのプロパティ画面で名前とプロキシ設定を入力し、「OK」をクリックします。
「プロキシサーバの使用」の「Agent、Appliance、およびRelayで使用するセキュリティアップデート用プロキシサーバ」で、作成したプロキシサーバを選択し、「保存」をクリックします。
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。
左ペインから「不正プログラム対策」をクリックし、「Smart Protection」タブを開きます。
「ファイルレピュテーションサービス用のSmart Protection Server」の「継承」のチェックを外し、「Global Smart Protectionサービスへの直接接続」と「Global Smart Protectionサービスへのアクセス時にプロキシを使用」をチェックします。
「Global Smart Protectionサービスへのアクセス時にプロキシを使用」で作成したプロキシサーバを選択し、「保存」をクリックします。
対象のコンピュータを再起動します。
■不正プログラム対策の個別設定
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。
左ペインから「不正プログラム対策」をクリックし、「一般」タブから「リアルタイム検索」-「継承」のチェックボックスを外し、不正プログラム検索設定で「Default Real-Time Scan Configuration」を選択します。
「予約検索」-「継承」のチェックボックスを外し、不正プログラム検索設定で「Default Real-Time Scan Configuration」を選択し、「保存」をクリックします。
■不正プログラム検索のスケジュール作成
推奨設定検索のスケジュール作成と同様の手順で、「種類」を「コンピュータの不正プログラムを検索」にし、不正プログラム対策のスケジュール作成を行います。
不正プログラム対策のタスク実行後、管理コンソール画面上部の「イベントとレポート」タブをクリックし、「システムイベント」からタスクの完了を確認します。
6)定義ファイル更新の確認
セキュリティアップデートの確認タスク実行後、DSAで定義ファイルが更新されているかを確認します。
■定義ファイルの確認
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。
左ペインから「アップデート」をクリックし、「セキュリティアップデートのステータス」を確認します。
管理コンソール画面上部の「イベントとレポート」タブをクリックし、「システムイベント」からタスクの完了を確認します。
以上で本検証は終了となります。
まとめ
Webプロキシを利用したDSaaSの導入については、問題なく実施することができました。
今回の検証では、保護対象サーバーが少なかったため、個別に設定を行いましたが、保護対象サーバーが多い場合、ポリシー設定を利用すれば、管理の効率化も可能そうです。
共通グローバルに繋がっていないサーバーを構築する際のご参考して頂けると幸いです。
注意事項
- 本検証は、インストールガイド(Trend Micro Deep Security as a Service)を参考に侵入防御、不正プログラム対策までの設定を行っています。
- 本記事については検証結果の1つとなります。実際に検討される場合は、事前にそれぞれの要件を鑑みて実装するか確認してください。
- 本記事ではOS上の操作についても記載していますが、ニフクラではOS以上はご利用者様の責任範囲となりますのでご留意ください。