トップ > AWS Systems Manager > AWS Systems Manager ディストリビューターで、Deep Securityエージェントを自動セットアップ

AWS Systems Manager ディストリビューターで、Deep Securityエージェントを自動セットアップ

AWS Systems Manager Deep Security Trend Micro Cloud One
記事タイトルとURLをコピーする

AWS Systems Manager ディストリビューターは、インスタンスへソフトウェアを自動インストールする機能があります。

2020年8月のアップデートで、Trend MicroのDeep Securityエージェントもディストリビューターの対象になったので、早速試してみました。

AWS Systems Manager Distributor から、一般的なサードパーティエージェントを管理可能に

目次

名称変更:Deep Security As a Service → Cloud One Workload Security

今回は「Deep Securityエージェントを自動セットアップ」ということなのですが、Trend Microのクラウドサービスとしては、Cloud One Workload Security(略称:C1WS)となります。

Cloud One Workload Securityは、従来はDeep Security As a Service(略称:DSaaS)と呼ばれていたサービスです。

Trend Microのクラウド関連のサービスはCloud Oneというブランド名になり、DSaaSもその中の一部ということで、Cloud One Workload Securityと改名したようです。

このサービスは、以下2つのコンポーネントで構成されます。

  • Workload Securityコンソール
    • クラウド上にある管理コンソール。ポリシー管理したりします。
  • Deep Securityエージェント(DSA)
    • インスタンスにインストールされます。インスタンスを保護します。

Cloud Oneのトライアルアカウント取得

Cloud Oneのページでアカウント作成

https://cloudone.trendmicro.com/にアクセスし、Create an Account

f:id:swx-watanabe:20200814181322p:plain

必要事項を入力

名前、パスワード、メールアドレスなど必要事項を入力します。

f:id:swx-watanabe:20200814181559p:plain

このような画面になります。

f:id:swx-watanabe:20200814181623p:plain

確認メールを受信し、ログイン

上記で登録したメールアドレスで以下のメールを受信します。 文中のURLをクリックするとログイン画面になるので、作成したユーザー情報でログインします。

Thank you for registering for Trend Micro Cloud One, our security services platform for cloud builders. Your Cloud One account includes a 30-day free trial of Cloud One - Workload Security (formerly Deep Security as a Service). Additional Cloud One services are available in preview. For more information, please see: https://cloudone.trendmicro.com/docs/about/.

Activate your Cloud One account by clicking the URL below.

https://cloudone.trendmicro.com/SignIn.screen?confirmation=xxxxxxxxxxxxx

Company / Account Name: xxxxxxxxxxxxx
Username (Email Address): xxxxxxxxxxxxx

Check out our Cloud One docs for helpful resources on getting started:
https://cloudone.trendmicro.com/docs

If you have any technical support questions, they can be submitted by logging in with your browser and submitting from the Cloud One console.


Note: After you have activated your account, direct access to Deep Security as a Service is available at https://app.deepsecurity.trendmicro.com. Once the transition to Cloud One is complete, customers will be automatically directed to Cloud One.


Thanks,

Your friends at Trend Micro

Workload Securityコンソールに移動

f:id:swx-watanabe:20200814204832p:plain

AWSとWorkload Securityの連携設定

Workload SecurityがAWSアカウントに存在するリソースを識別できるようにIAMロール等を作成します。 クイックセットアップを使用してAWSアカウントを追加する - Workload Securityの手順でCloudFormationを実行しましょう。

結果として、以下のようなリソースが作成されます。

f:id:swx-watanabe:20200815000554p:plain

この連携設定は、この後で設定するイベントベースタスクを機能するために必要です。

Workload Securityの設定

イベントベースタスクの設定

AWS Systems Manager Distributorでエージェントのインストールは可能ですが、実際に機能させるにはポリシー割り当ても必要です。 Workload Securityでは、保護対象のコンピュータに対し、それぞれ異なるポリシーを適用することができます。 どのタイミングで、どのインスタンスに、どのポリシーを割り当てるかの定義をイベントベースタスクで作成します。

今回は以下のイベントベースタスクを作成します。

項目 設定値
タイミング エージェント有効時
ポリシー適用対象 c1sw: developmentタグがあるインスタンス
割り当てるポリシー Linux Serverポリシー

管理 > イベントベースタスク > 新規

f:id:swx-watanabe:20200814205128p:plain

イベント:Agentからのリモート有効化

f:id:swx-watanabe:20200814205150p:plain

ポリシーの割り当て

f:id:swx-watanabe:20200814205211p:plain

一致条件

今回のようにEC2インスタンスのタグを利用する場合は、「クラウドインスタンスのメタデータ」を選択します。

f:id:swx-watanabe:20200814205228p:plain

確認画面

f:id:swx-watanabe:20200814205244p:plain

AWSの設定

パラメータの作成

エージェントがWorkload SecurityのAPIにアクセスできるように、パラメータストアで4つのパラメータを作成します。

名前
dsActivationUrl dsm://agents.deepsecurity.trendmicro.com:443/
dsManagerUrl https://app.deepsecurity.trendmicro.com:443
dsTenantId インストールスクリプトに記載のtenantID
dsToken インストールスクリプトに記載のtoken

作成できると以下のような画面になります。

f:id:swx-watanabe:20200814210947p:plain

dsTenantIdとdsTokenの値は、各Workload Securityアカウントで異なるのでインストールスクリプトの中身をみて確認します。

f:id:swx-watanabe:20200814210929p:plain

参考ページ:Integrate with AWS Systems Manager Distributor - Workload Security

ディストリビューターの利用

TrendMicto-CloudOne-WorkloadSecurityパッケージの選択

AWS Systems Manager > ディストリビューター > Third Party

TrendMicto-CloudOne-WorkloadSecurityを選択し、スケジュールへのインストールを選択します。

f:id:swx-watanabe:20200814211041p:plain

ステートマネージャーで関連付けを作成

ディストリビューターの画面から、ステートマネージャーの画面に遷移しました。以下、赤枠で囲った部分のみがデフォルトからの変更点となります。

f:id:swx-watanabe:20200814211930p:plain

In-place updateとしました。 エージェントのアップデートが自動化されます。

f:id:swx-watanabe:20200814211943p:plain

タグを設定します。 c1wsというタグがついていれば、エージェントをインストールとしました。

f:id:swx-watanabe:20200814212004p:plain

f:id:swx-watanabe:20200814212018p:plain

f:id:swx-watanabe:20200814212044p:plain

これで準備完了です。

動作確認

EC2インスタンスを新規作成してみました。

下記のようにタグをつけて、EC2インスタンスを作成します。 Systems Managerを利用できるようにIAMロールをつけるという注意点はありますが、他は本当に普通の設定です。

f:id:swx-watanabe:20200814214142p:plain

起動するとすぐにエージェントがインストールされ、指定したポリシーが適用されました。

f:id:swx-watanabe:20200814214158p:plain

なお、エージェントのバージョンは現時点の長期サポート(LTS)最新版である20.0.0.877でした。

Deep Security長期サポートソフトウェア| Deep Security

感想

このような仕組みは、大規模環境でのWorkload Securityの運用の効率化の可能性を感じました。

今回はディストリビューターを利用して特定のタグがあるインスタンスにエージェントを自動インストールさせましたが、全てのインスタンスやリソースグループを対象とすることもできます。省力化とだけでなく、設定漏れの防止にもなるかもしれません。

また、Workload Securityのイベントベースタスクと組み合わせることでポリシーの割り当てまで自動化しました。これも便利です。

誰かが勝手に作成してしまったインスタンスを、自動的に保護できるという環境が作れそうな気がします。

渡辺 信秀(記事一覧)

2017年入社 / 地味な内容を丁寧に書きたい