Auto ScaleしたインスタンスをDeep Securityで管理する

こんにちは、ひろかずです。

Auto ScaleしたインスタンスをDeep Securityで管理する需要があるようなので、一筆書きます。

#前提

• Deep Security Managerの導入が完了していること。
• ライセンスを投入していること。
• 最低でもRelayを導入しており、管理対象になっていること。
• Deep Security Manager導入後の動作確認(Agentの導入とManagerへの追加)から流れてきた人

#参照情報
マニュアルの349-351頁, 354-356頁になります。

AWSのAutoScaleについては、インターネット上に色々書かれているので検索してみてください。

#工程
1.Deep Securityでの管理用IAMユーザーを作成(クラウドアカウントの作成)
2.Deep Security Managerへのクラウドアカウントの登録
3.AutoScaleしたインスタンスをDeep Security Managerで管理する

#1.Deep Securityでの管理用IAMユーザーを作成(クラウドアカウントの作成)
AWSコンソールのIAM画面から、左側メニューのUsersを選択
注意！　管理したいEC2が配置されているRegionであることを確認してください。

Create New Usersを選択

今回は、IAMユーザ名を「DSM」に設定します。
アクセスキーが必要になるので、「Generate an access key for each user」のチェックが有効であることを確認します。

作成できたら、Access KeyとSeacret Keyを控えます。
csvファイルをダウンロードして、保存しておくといいでしょう。(再発行できません)

Usersの一覧画面に戻って「DSM」の文字の箇所をクリックします。
少々わかりにくいですがチェックボックスはハズレです。

Permissionsセクションの「Attuch User Policy」を選択します。

「Policy Generater」を選択して、「Select」ボタンをクリック

AWS Serviceを「Amazon EC2」に設定します。
Actionsを以下3点をチェックします。

• DescribeImages
• DescribeInstances
• DescribeTags

ARNには「*」を設定します。
以上を設定して「Add Statement」ボタンをクリック

以下のように表示されます。
設定内容を確認して「Next Step」ボタンをクリックします。

「Apply Policy」ボタンをクリックします。

設定が完了すると、このように表示されます。

#2.Deep Security Managerへのクラウドアカウントの登録
Managerコンソールを開いて「コンピュータ」→「クラウドアカウントの追加」をクリック

プロバイダの地域を作成したIAMユーザーが配置されているRegionに設定します。
名前欄の内容は、コンピュータグループ名になります。
アクセスキーIDと秘密アクセスキーに、作成したIAMユーザーのAccess KeyとSeacret Keyを登録します。

概要情報が表示されます。
「完了」ボタンをクリックします。

設定内容が正しければ、このように表示されます。

コンピュータ画面を表示すると、当該Region上のEC2がコンピュータグループ「Amazon」配下に登録されています。

#3.AutoScaleしたインスタンスをDeep Security Managerで管理する
ここでざっと、AutoScaleしたインスタンスが、Manager登録されるまでの流れを記します。

1. ManagerにAgentからの登録を許可する設定をしておきます。
2. AutoScaleで作成されたインスタンスは、cloud-initにてManagerのポート4119からAgentをダウンロードし、自分自身にAgentをインストールします。
3. AutoScaleで作成されたインスタンスは、cloud-initにてManagerのポート4120にアクセスして、自分自身を登録しに行きます。

それでは、作業をしていきましょう。
Managerは、Security Groupにて、Agentからの通信ポート4119, 4120を開けておく必要があります。

次に、ManagerにAgentからの登録を許可する設定を施します。
Managerの「管理」→「システム設定」→「Agent」を選択します。
「Agentからのリモート有効化を許可」にチェックを入れます。

画面右上の「ヘルプ」から「インストールスクリプト」を選択します。

インストール対象として「Agent(推奨)」を選択し、「追加ソフトウェアのインポート」のリンクを選択します。

AutoScaleするインスタンスに導入するAgentのインストールモジュールを設定します。
モジュールが手元にない場合は、「トレンドマイクロのダウンロードセンター」リンクからDeep Security Agentのインストールモジュールをダウンロードして設定します。
今回は、Amazon Linuxのインストールモジュールを使用します。

完了をクリックします。

インストールモジュールのインポートが終わったら、「プラットフォーム」にAmazon Linuxが追加されているので、設定します。
「Agentを自動的に有効化」にチェックを入れるとインストールスクリプトが生成されますので、コピーしておきます。

AutoScaleの設定を簡単に記します。
AWSコンソールのEC2画面から、「Launch Configrations」を選択し、「Create launch configuration」ボタンをクリックします。

Auto Scaleの元になるAMIを選択します。
当該AMIにはDeep Security Agentが導入されていないものを選択してください。

必要に応じたインスタンスサイズを選択します。
Agentは、メモリを512MBを要求するので、適切なインスタンスタイプを選択します。
Trend Micro Deep Security 9.0 SP1 システム要件

Launch Configration名を指定して、Advanced Detailsセクション内の「User Data」欄に先ほどコピーしたスクリプトを貼り付けます。

あとは、適宜設定を進めます。
設定が完了したら、AutoScaleで作成されたインスタンスがDeep Security Managerに登録されます。

スケールアウトしてみます。

Managerに追加登録されますね。

スケールインしてみます。

Managerから削除されました。

お疲れ様でした。
※侵入防御ルール等の自動登録については、後日補足します。

2014/09/17追記：Auto Scaleしたインスタンスに侵入防御ルールを適用するに記載しました。