Fujitsu Cloud Direct ブログ

初心者エンジニア向け技術ブログ

サーバー向けクラウド型セキュリティTrend Micro Deep Security as a Service(DSaaS)の構成検証

この記事は、ニフクラブログで2019-04-17に公開された記事を移転したものです。 こんにちは、ニフクラテクニカルアカウントチームです。

クラウド環境におけるセキュリティの向上はクラウドユーザーにとって関心の高いテーマの一つです。昨今、複雑・巧妙化するさまざまな脅威に対応するために「多層防御」が重視されていますが、どうしてもシステムが複雑になりがちです。
ニフクラでは、サーバー向けクラウド型セキュリティであるTrend Micro Deep Security as a Service(以下、DSaaS)をソリューションサービスとして提供しています。
DSaaSを導入することで、お客様側で管理サーバーを構築することなく、手軽にセキュリティ対策を行うことができます。
今回はWebプロキシを利用し、共通グローバルに繋がっていないサーバーに対してDSaaSを導入してみました。

前提条件

本ブログは、以下の前提知識がある方を想定しています。

  • ニフクラの基本的なコントロールパネルの操作、サービスを利用する知識
    (サーバー作成、ネットワーク構築など)
  • Windows、Linuxの基本的な操作、知識

検証概要

本ブログは、以下の検証を実施しています。

  • Deep Security Agent(以下、DSA)をWindows、Linuxサーバーに導入し、Deep Security Manager(以下、DSM)の管理コンソール上で侵入防御と不正プログラム対策の設定を行う。
  • ルーターのWebプロキシ経由でDSaaSの定義ファイルを更新する。


利用リソース

本検証を実施するにあたり、利用したニフクラのリソース情報に関して以下に記載します。
※各リソースのアクセス制限に関しては、ニフクラのファイアウォール等を用いて適切に設定の上実施しています。

リソース 数量
仮想サーバー(サーバーOS:Windows Server 2016、CentOS7.5) 2
プライベートLAN 1
ルーター 1

DSAのインストーラ情報について以下に記載します。
※本検証結果は以下バージョンでの検証結果となります。

インストーラ バージョン 数量
Agent-Core-Windows 11.3.0-202 1
Agent-Core-RedHat_EL7 11.3.0-168 1

リソースの名称やIPアドレスは以下のように設定しています。

リソース ホスト名 プライベートIPアドレス
サーバー(Windows Server 2016) DSaaS01 192.168.1.10
サーバー(CentOS 7.5) DSaas02 192.168.1.20
ルーター - 192.168.1.254
プライベートLAN - 192.168.1.0/24

ルーターのWebプロキシ設定およびファイアウォールのINルールは以下のように設定しています。
※本検証では、OUTルールの設定は行っていません。(制限していません。)

設定項目 設定値
受け側ネットワーク プライベートLAN名
受け側ポート 8080
迂回側ネットワーク 共通グローバル
プロトコル ポート 接続元種別(IPアドレス) 備考
TCP 8080 192.168.1.10 Webプロキシ利用でのDSaaS通信用
UDP 53 192.168.1.10 DNS用
TCP 8080 192.168.1.20 Webプロキシ利用でのDSaaS通信用
UDP 53 192.168.1.20 DNS用

検証内容

DSAのインストールから、侵入防御・不正プログラム対策の設定までを行います。
最後にDSaaSの定義ファイルが更新できることを確認します。

1)DSaaSアカウント登録

初めにDSaaSアカウントの登録を行います。
※ここでは、DSaaSのお申込みに関する手順は省略させて頂きます。
お申込み手順は、以下を参照してください。
サーバー向けクラウド型セキュリティ(Trend Micro Deep Security as a Service)
お申込み後、ライセンス追加のご連絡のメールが届きます。
メール受領後から導入までの流れを記載します。

■管理コンソールへのログオン
Trend Micro Deep Securityの登録フォームへアクセスし、「Create an Account」をクリックします。

アカウント情報を適宜入力後、ライセンスの同意にチェックを入れ、「Sign Up」をクリックします。

アカウント登録のメールを受領後、メール内に記載されたURLにアクセスします。

アカウント情報を入力し、ログオンします。

DSMの管理コンソールにログオンしたことを確認します。

■デモ用コンピュータの無効化と削除
新規登録を行うと、DSaaSの各機能が準備されたデモ用コンピュータが用意されています。
サービスの利用時には削除を行います。
画面上部の「コンピュータ」タブをクリックします。

対象のデモ用コンピュータを右クリックし、「処理」- 「無効化」をクリックします。

ステータスが非管理対象となることを確認します。

対象のデモ用コンピュータを右クリックし、「削除」をクリックします。

■Activation Codeの入力
画面上部のアカウント名をクリックし、「アカウントの詳細」を選択します。

「有償版にアップグレード」をクリックします。

アクティベーションコードの入力欄に、ライセンス追加のご連絡メールに記載されたコードを入力し、「アクティベーションコードの入力」をクリックします。

2)DSAインストール

管理コンソールからインストーラをエクスポートして保護対象となるサーバーに配備し、DSAをインストールします。
※保護対象サーバーへのインストーラモジュールの配備方法については割愛させて頂きます。

■Windowsへのインストール
管理コンソールにアクセスし、画面上部の「管理」タブをクリックして、左ペインから「ソフトウェア」-「ローカル」をクリックし、適用するインストーラを選択します。

「エクスポート」-「インストーラのエクスポート」をクリックします。

保護対象サーバーでインストーラを実行し、「次へ」をクリックします。

使用許諾契約書の同意にチェックを入れ、「次へ」をクリックします。

「次へ」をクリックします。

「インストール」をクリックします。

「はい」をクリックします。

「完了」をクリックします。

管理コンソール画面上部の「サポート情報」-「インストールスクリプト」をクリックします。

プラットフォームからインストール対象のOSを選択し、「インストール後にAgentを自動的に有効化」がチェックされていることを確認後、「クリップボードにコピー」をクリックします。

コピーしたコードをテキストエディタなどに貼り付けて「dsa_control" -a dsm://」が含まれる行を抜き出します。

抜き出した行から、「dsa_control" -a dsm://」より前の部分と「dsa_control" -a dsm://」の「"」を削除します。

管理者権限でコマンドプロンプトを起動し、DSAのインストールフォルダに移動後、抜き出したコードと併せて下記のコマンドを実行します。
※プロキシのIPとポート番号は適宜変更してください。
※各コマンドの詳細については、トレンドマイクロの情報をご確認ください。
※外部サイトのため、リンク切れの際はご容赦ください。

>dsa_control -x "dsm_proxy://192.168.1.254:8080/"
>dsa_control -y "relay_proxy://192.168.1.254:8080/"
>dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:xxxxxxxxxx" "token:xxxxxxxxxx"


管理コンソール画面上部の「コンピュータ」タブをクリックし、保護対象サーバーのステータスが管理対象と表示されることを確認します。

■Linuxへのインストール
Windowsへのインストールと同じ手順でLinux用のインストーラをエクスポートし、保護対象サーバーに配置してインストーラを実行します。

# cd <インストーラ配備パス>
# rpm -i Agent-Core-RedHat_EL7-11.3.0-168.x86_64.rpm
 Host platform - NAME="CentOS Linux"
 Starting ds_agent (via systemctl):  [  OK  ]

Windowsへのインストールと同じ手順でLinux用のスクリプトをコピーします。

コピーしたコードから、「/opt/ds_agent/dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:xxxxxxxxxx" "token:xxxxxxxxxx"」の行を抜き出します。

抜き出したコードと併せて下記のコマンドを実行します。

# /opt/ds_agent/dsa_control -x "dsm_proxy://192.168.1.254:8080/"
# /opt/ds_agent/dsa_control -y "relay_proxy:/192.168.1.254:8080/"
# /opt/ds_agent/dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:xxxxxxxxxx" "token:xxxxxxxxxx"
# /opt/ds_agent/dsa_control -x "dsm_proxy://192.168.1.254:8080/"
 HTTP Status: 200 - OK
 Response:
 Add proxy-address:[dsm_proxy] with value:[dsm_proxy://192.168.1.254:8080/]

# /opt/ds_agent/dsa_control -y "relay_proxy:/192.168.1.254:8080/"
 HTTP Status: 200 - OK
 Response:
 Add relay proxy-address:[relay_proxy] with value:[relay_proxy://192.168.1.254:8080/]

# /opt/ds_agent/dsa_control -a dsm://agents.deepsecurity.trendmicro.com:443/ "tenantID:xxxxxxxxxx" "token:xxxxxxxxxx"
 Activation will be re-attempted 30 time(s) in case of failure
 dsa_control
 HTTP Status: 200 - OK
 Response:
 Attempting to connect to https://agents.deepsecurity.trendmicro.com:443/
 <以下省略>

管理コンソール画面上部の「コンピュータ」タブをクリックし、対象サーバーのステータスが管理対象と表示されることを確認します。

以上でDSAのインストール作業は終了になります。

3)DSaaSの通信方向設定

本検証では、DSMとDSA間の通信は、DSAからの片方向通信とします。
ここでは通信方向の設定方法について記載します。

■DSAからの片方向通信設定
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。

左ペインから「設定」をクリックし、「一般」タブから通信方向に「Agent/Applianceから開始」を選択し、「保存」をクリックします。

4)侵入防御設定

侵入防御モジュールの有効化とスケジュール設定を行い、仮想パッチを自動適用します。

■侵入防御モジュールの有効化
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。

左ペインから「侵入防御」をクリックし、「一般」タブから「侵入防御」の設定を「オン」にし、「侵入防御の動作」が「防御」となっていることを確認します。

「推奨設定」の「侵入防御の推奨設定を自動的に適用(可能な場合)」を「はい」にし、「保存」をクリックします。

■推奨設定検索のスケジュール作成
管理コンソール画面上部の「管理」タブをクリックし、左ペインから「予約タスク」-「新規」をクリックします。

「種類」を「コンピュータの推奨設定を検索」にし、頻度を選択後、「次へ」をクリックします。

スケジュール詳細を設定し、「次へ」をクリックします。

「すべてのコンピュータ」を選択し、「次へ」をクリックします。
※個別に設定を行う場合は、「コンピュータ」を選択し、適宜指定をします。

タスクの名前を入力し、「タスクの有効化」にチェックを入れ、「完了」をクリックします。
※完了をクリック後、一回目の推奨設定の検索が行われます。

管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。

左ペインから「侵入防御」をクリックし、「一般」タブから「推奨設定」の現在のステータスに、侵入防御ルールが割り当てられていることを確認します。

「現在割り当てられている侵入防御ルール」で自動的に洗い出されたルールが適用されていることを確認します。
]

5)不正プログラム対策設定

不正プログラム対策を有効化し、スケジュール設定を行います。

■不正プログラム対策の有効化
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。

左ペインから「不正プログラム対策」をクリックし、「一般」タブから「不正プログラム対策」の設定で「オン」を選択し、「保存」をクリックします。

対象のコンピュータを再起動します。
管理コンソール画面上部の「管理」タブをクリックし、左ペインから「システム設定」-「プロキシ」タブをクリックします。

「プロキシサーバ」の「新規」-「新しいプロキシサーバ」をクリックします。

新しいプロキシのプロパティ画面で名前とプロキシ設定を入力し、「OK」をクリックします。

「プロキシサーバの使用」の「Agent、Appliance、およびRelayで使用するセキュリティアップデート用プロキシサーバ」で、作成したプロキシサーバを選択し、「保存」をクリックします。

管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。

左ペインから「不正プログラム対策」をクリックし、「Smart Protection」タブを開きます。

「ファイルレピュテーションサービス用のSmart Protection Server」の「継承」のチェックを外し、「Global Smart Protectionサービスへの直接接続」と「Global Smart Protectionサービスへのアクセス時にプロキシを使用」をチェックします。
「Global Smart Protectionサービスへのアクセス時にプロキシを使用」で作成したプロキシサーバを選択し、「保存」をクリックします。

対象のコンピュータを再起動します。

■不正プログラム対策の個別設定
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。

左ペインから「不正プログラム対策」をクリックし、「一般」タブから「リアルタイム検索」-「継承」のチェックボックスを外し、不正プログラム検索設定で「Default Real-Time Scan Configuration」を選択します。
「予約検索」-「継承」のチェックボックスを外し、不正プログラム検索設定で「Default Real-Time Scan Configuration」を選択し、「保存」をクリックします。

■不正プログラム検索のスケジュール作成
推奨設定検索のスケジュール作成と同様の手順で、「種類」を「コンピュータの不正プログラムを検索」にし、不正プログラム対策のスケジュール作成を行います。

不正プログラム対策のタスク実行後、管理コンソール画面上部の「イベントとレポート」タブをクリックし、「システムイベント」からタスクの完了を確認します。

6)定義ファイル更新の確認

セキュリティアップデートの確認タスク実行後、DSAで定義ファイルが更新されているかを確認します。

■定義ファイルの確認
管理コンソール画面上部の「コンピュータ」タブをクリックし、対象のコンピュータを選択後、「詳細」をクリックします。

左ペインから「アップデート」をクリックし、「セキュリティアップデートのステータス」を確認します。

管理コンソール画面上部の「イベントとレポート」タブをクリックし、「システムイベント」からタスクの完了を確認します。

以上で本検証は終了となります。

まとめ

Webプロキシを利用したDSaaSの導入については、問題なく実施することができました。 今回の検証では、保護対象サーバーが少なかったため、個別に設定を行いましたが、保護対象サーバーが多い場合、ポリシー設定を利用すれば、管理の効率化も可能そうです。
共通グローバルに繋がっていないサーバーを構築する際のご参考して頂けると幸いです。

注意事項

  • 本検証は、インストールガイド(Trend Micro Deep Security as a Service)を参考に侵入防御、不正プログラム対策までの設定を行っています。
  • 本記事については検証結果の1つとなります。実際に検討される場合は、事前にそれぞれの要件を鑑みて実装するか確認してください。
  • 本記事ではOS上の操作についても記載していますが、ニフクラではOS以上はご利用者様の責任範囲となりますのでご留意ください。