AWS Systems Manager ディストリビューターは、インスタンスへソフトウェアを自動インストールする機能があります。
2020年8月のアップデートで、Trend MicroのDeep Securityエージェントもディストリビューターの対象になったので、早速試してみました。
AWS Systems Manager Distributor から、一般的なサードパーティエージェントを管理可能に
目次
- 目次
- 名称変更:Deep Security As a Service → Cloud One Workload Security
- Cloud Oneのトライアルアカウント取得
- AWSとWorkload Securityの連携設定
- Workload Securityの設定
- AWSの設定
- 動作確認
- 感想
名称変更:Deep Security As a Service → Cloud One Workload Security
今回は「Deep Securityエージェントを自動セットアップ」ということなのですが、Trend Microのクラウドサービスとしては、Cloud One Workload Security(略称:C1WS)となります。
Cloud One Workload Securityは、従来はDeep Security As a Service(略称:DSaaS)と呼ばれていたサービスです。
Trend Microのクラウド関連のサービスはCloud Oneというブランド名になり、DSaaSもその中の一部ということで、Cloud One Workload Securityと改名したようです。
このサービスは、以下2つのコンポーネントで構成されます。
- Workload Securityコンソール
- クラウド上にある管理コンソール。ポリシー管理したりします。
- Deep Securityエージェント(DSA)
- インスタンスにインストールされます。インスタンスを保護します。
Cloud Oneのトライアルアカウント取得
Cloud Oneのページでアカウント作成
https://cloudone.trendmicro.com/にアクセスし、Create an Account
必要事項を入力
名前、パスワード、メールアドレスなど必要事項を入力します。
このような画面になります。
確認メールを受信し、ログイン
上記で登録したメールアドレスで以下のメールを受信します。 文中のURLをクリックするとログイン画面になるので、作成したユーザー情報でログインします。
Thank you for registering for Trend Micro Cloud One, our security services platform for cloud builders. Your Cloud One account includes a 30-day free trial of Cloud One - Workload Security (formerly Deep Security as a Service). Additional Cloud One services are available in preview. For more information, please see: https://cloudone.trendmicro.com/docs/about/. Activate your Cloud One account by clicking the URL below. https://cloudone.trendmicro.com/SignIn.screen?confirmation=xxxxxxxxxxxxx Company / Account Name: xxxxxxxxxxxxx Username (Email Address): xxxxxxxxxxxxx Check out our Cloud One docs for helpful resources on getting started: https://cloudone.trendmicro.com/docs If you have any technical support questions, they can be submitted by logging in with your browser and submitting from the Cloud One console. Note: After you have activated your account, direct access to Deep Security as a Service is available at https://app.deepsecurity.trendmicro.com. Once the transition to Cloud One is complete, customers will be automatically directed to Cloud One. Thanks, Your friends at Trend Micro
Workload Securityコンソールに移動
AWSとWorkload Securityの連携設定
Workload SecurityがAWSアカウントに存在するリソースを識別できるようにIAMロール等を作成します。 クイックセットアップを使用してAWSアカウントを追加する - Workload Securityの手順でCloudFormationを実行しましょう。
結果として、以下のようなリソースが作成されます。
この連携設定は、この後で設定するイベントベースタスクを機能するために必要です。
Workload Securityの設定
イベントベースタスクの設定
AWS Systems Manager Distributorでエージェントのインストールは可能ですが、実際に機能させるにはポリシー割り当ても必要です。 Workload Securityでは、保護対象のコンピュータに対し、それぞれ異なるポリシーを適用することができます。 どのタイミングで、どのインスタンスに、どのポリシーを割り当てるかの定義をイベントベースタスクで作成します。
今回は以下のイベントベースタスクを作成します。
項目 | 設定値 |
---|---|
タイミング | エージェント有効時 |
ポリシー適用対象 | c1sw: developmentタグがあるインスタンス |
割り当てるポリシー | Linux Serverポリシー |
管理 > イベントベースタスク > 新規
イベント:Agentからのリモート有効化
ポリシーの割り当て
一致条件
今回のようにEC2インスタンスのタグを利用する場合は、「クラウドインスタンスのメタデータ」を選択します。
確認画面
AWSの設定
パラメータの作成
エージェントがWorkload SecurityのAPIにアクセスできるように、パラメータストアで4つのパラメータを作成します。
名前 | 値 |
---|---|
dsActivationUrl | dsm://agents.deepsecurity.trendmicro.com:443/ |
dsManagerUrl | https://app.deepsecurity.trendmicro.com:443 |
dsTenantId | インストールスクリプトに記載のtenantID |
dsToken | インストールスクリプトに記載のtoken |
作成できると以下のような画面になります。
dsTenantIdとdsTokenの値は、各Workload Securityアカウントで異なるのでインストールスクリプトの中身をみて確認します。
参考ページ:Integrate with AWS Systems Manager Distributor - Workload Security
ディストリビューターの利用
TrendMicto-CloudOne-WorkloadSecurityパッケージの選択
AWS Systems Manager > ディストリビューター > Third Party
TrendMicto-CloudOne-WorkloadSecurityを選択し、スケジュールへのインストールを選択します。
ステートマネージャーで関連付けを作成
ディストリビューターの画面から、ステートマネージャーの画面に遷移しました。以下、赤枠で囲った部分のみがデフォルトからの変更点となります。
In-place updateとしました。 エージェントのアップデートが自動化されます。
タグを設定します。 c1wsというタグがついていれば、エージェントをインストールとしました。
これで準備完了です。
動作確認
EC2インスタンスを新規作成してみました。
下記のようにタグをつけて、EC2インスタンスを作成します。 Systems Managerを利用できるようにIAMロールをつけるという注意点はありますが、他は本当に普通の設定です。
起動するとすぐにエージェントがインストールされ、指定したポリシーが適用されました。
なお、エージェントのバージョンは現時点の長期サポート(LTS)最新版である20.0.0.877でした。
Deep Security長期サポートソフトウェア| Deep Security
感想
このような仕組みは、大規模環境でのWorkload Securityの運用の効率化の可能性を感じました。
今回はディストリビューターを利用して特定のタグがあるインスタンスにエージェントを自動インストールさせましたが、全てのインスタンスやリソースグループを対象とすることもできます。省力化とだけでなく、設定漏れの防止にもなるかもしれません。
また、Workload Securityのイベントベースタスクと組み合わせることでポリシーの割り当てまで自動化しました。これも便利です。
誰かが勝手に作成してしまったインスタンスを、自動的に保護できるという環境が作れそうな気がします。
渡辺 信秀(記事一覧)
2017年入社 / 地味な内容を丁寧に書きたい