AWS Systems Manager ディストリビューターで、Deep Securityエージェントを自動セットアップ

記事タイトルとURLをコピーする

AWS Systems Manager ディストリビューターは、インスタンスへソフトウェアを自動インストールする機能があります。

2020年8月のアップデートで、Trend MicroのDeep Securityエージェントもディストリビューターの対象になったので、早速試してみました。

AWS Systems Manager Distributor から、一般的なサードパーティエージェントを管理可能に

目次

名称変更:Deep Security As a Service → Cloud One Workload Security

今回は「Deep Securityエージェントを自動セットアップ」ということなのですが、Trend Microのクラウドサービスとしては、Cloud One Workload Security(略称:C1WS)となります。

Cloud One Workload Securityは、従来はDeep Security As a Service(略称:DSaaS)と呼ばれていたサービスです。

Trend Microのクラウド関連のサービスはCloud Oneというブランド名になり、DSaaSもその中の一部ということで、Cloud One Workload Securityと改名したようです。

このサービスは、以下2つのコンポーネントで構成されます。

  • Workload Securityコンソール
    • クラウド上にある管理コンソール。ポリシー管理したりします。
  • Deep Securityエージェント(DSA)
    • インスタンスにインストールされます。インスタンスを保護します。

Cloud Oneのトライアルアカウント取得

Cloud Oneのページでアカウント作成

https://cloudone.trendmicro.com/にアクセスし、Create an Account

f:id:swx-watanabe:20200814181322p:plain

必要事項を入力

名前、パスワード、メールアドレスなど必要事項を入力します。

f:id:swx-watanabe:20200814181559p:plain

このような画面になります。

f:id:swx-watanabe:20200814181623p:plain

確認メールを受信し、ログイン

上記で登録したメールアドレスで以下のメールを受信します。 文中のURLをクリックするとログイン画面になるので、作成したユーザー情報でログインします。

Thank you for registering for Trend Micro Cloud One, our security services platform for cloud builders. Your Cloud One account includes a 30-day free trial of Cloud One - Workload Security (formerly Deep Security as a Service). Additional Cloud One services are available in preview. For more information, please see: https://cloudone.trendmicro.com/docs/about/.

Activate your Cloud One account by clicking the URL below.

https://cloudone.trendmicro.com/SignIn.screen?confirmation=xxxxxxxxxxxxx

Company / Account Name: xxxxxxxxxxxxx
Username (Email Address): xxxxxxxxxxxxx

Check out our Cloud One docs for helpful resources on getting started:
https://cloudone.trendmicro.com/docs

If you have any technical support questions, they can be submitted by logging in with your browser and submitting from the Cloud One console.


Note: After you have activated your account, direct access to Deep Security as a Service is available at https://app.deepsecurity.trendmicro.com. Once the transition to Cloud One is complete, customers will be automatically directed to Cloud One.


Thanks,

Your friends at Trend Micro

Workload Securityコンソールに移動

f:id:swx-watanabe:20200814204832p:plain

AWSとWorkload Securityの連携設定

Workload SecurityがAWSアカウントに存在するリソースを識別できるようにIAMロール等を作成します。 クイックセットアップを使用してAWSアカウントを追加する - Workload Securityの手順でCloudFormationを実行しましょう。

結果として、以下のようなリソースが作成されます。

f:id:swx-watanabe:20200815000554p:plain

この連携設定は、この後で設定するイベントベースタスクを機能するために必要です。

Workload Securityの設定

イベントベースタスクの設定

AWS Systems Manager Distributorでエージェントのインストールは可能ですが、実際に機能させるにはポリシー割り当ても必要です。 Workload Securityでは、保護対象のコンピュータに対し、それぞれ異なるポリシーを適用することができます。 どのタイミングで、どのインスタンスに、どのポリシーを割り当てるかの定義をイベントベースタスクで作成します。

今回は以下のイベントベースタスクを作成します。

項目 設定値
タイミング エージェント有効時
ポリシー適用対象 c1sw: developmentタグがあるインスタンス
割り当てるポリシー Linux Serverポリシー

管理 > イベントベースタスク > 新規

f:id:swx-watanabe:20200814205128p:plain

イベント:Agentからのリモート有効化

f:id:swx-watanabe:20200814205150p:plain

ポリシーの割り当て

f:id:swx-watanabe:20200814205211p:plain

一致条件

今回のようにEC2インスタンスのタグを利用する場合は、「クラウドインスタンスのメタデータ」を選択します。

f:id:swx-watanabe:20200814205228p:plain

確認画面

f:id:swx-watanabe:20200814205244p:plain

AWSの設定

パラメータの作成

エージェントがWorkload SecurityのAPIにアクセスできるように、パラメータストアで4つのパラメータを作成します。

名前
dsActivationUrl dsm://agents.deepsecurity.trendmicro.com:443/
dsManagerUrl https://app.deepsecurity.trendmicro.com:443
dsTenantId インストールスクリプトに記載のtenantID
dsToken インストールスクリプトに記載のtoken

作成できると以下のような画面になります。

f:id:swx-watanabe:20200814210947p:plain

dsTenantIdとdsTokenの値は、各Workload Securityアカウントで異なるのでインストールスクリプトの中身をみて確認します。

f:id:swx-watanabe:20200814210929p:plain

参考ページ:Integrate with AWS Systems Manager Distributor - Workload Security

ディストリビューターの利用

TrendMicto-CloudOne-WorkloadSecurityパッケージの選択

AWS Systems Manager > ディストリビューター > Third Party

TrendMicto-CloudOne-WorkloadSecurityを選択し、スケジュールへのインストールを選択します。

f:id:swx-watanabe:20200814211041p:plain

ステートマネージャーで関連付けを作成

ディストリビューターの画面から、ステートマネージャーの画面に遷移しました。以下、赤枠で囲った部分のみがデフォルトからの変更点となります。

f:id:swx-watanabe:20200814211930p:plain

In-place updateとしました。 エージェントのアップデートが自動化されます。

f:id:swx-watanabe:20200814211943p:plain

タグを設定します。 c1wsというタグがついていれば、エージェントをインストールとしました。

f:id:swx-watanabe:20200814212004p:plain

f:id:swx-watanabe:20200814212018p:plain

f:id:swx-watanabe:20200814212044p:plain

これで準備完了です。

動作確認

EC2インスタンスを新規作成してみました。

下記のようにタグをつけて、EC2インスタンスを作成します。 Systems Managerを利用できるようにIAMロールをつけるという注意点はありますが、他は本当に普通の設定です。

f:id:swx-watanabe:20200814214142p:plain

起動するとすぐにエージェントがインストールされ、指定したポリシーが適用されました。

f:id:swx-watanabe:20200814214158p:plain

なお、エージェントのバージョンは現時点の長期サポート(LTS)最新版である20.0.0.877でした。

Deep Security長期サポートソフトウェア| Deep Security

感想

このような仕組みは、大規模環境でのWorkload Securityの運用の効率化の可能性を感じました。

今回はディストリビューターを利用して特定のタグがあるインスタンスにエージェントを自動インストールさせましたが、全てのインスタンスやリソースグループを対象とすることもできます。省力化とだけでなく、設定漏れの防止にもなるかもしれません。

また、Workload Securityのイベントベースタスクと組み合わせることでポリシーの割り当てまで自動化しました。これも便利です。

誰かが勝手に作成してしまったインスタンスを、自動的に保護できるという環境が作れそうな気がします。

渡辺 信秀 (記事一覧)