26
25

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

Auto ScaleしたインスタンスをDeep Securityで管理する

Last updated at Posted at 2014-09-01

こんにちは、ひろかずです。

Auto ScaleしたインスタンスをDeep Securityで管理する需要があるようなので、一筆書きます。

#前提

#参照情報
マニュアルの349-351頁, 354-356頁になります。

AWSのAutoScaleについては、インターネット上に色々書かれているので検索してみてください。

#工程
1.Deep Securityでの管理用IAMユーザーを作成(クラウドアカウントの作成)
2.Deep Security Managerへのクラウドアカウントの登録
3.AutoScaleしたインスタンスをDeep Security Managerで管理する

#1.Deep Securityでの管理用IAMユーザーを作成(クラウドアカウントの作成)
AWSコンソールのIAM画面から、左側メニューのUsersを選択
注意! 管理したいEC2が配置されているRegionであることを確認してください。
IAM_Management_Console1.png

Create New Usersを選択
IAM_Management_Console2.png

今回は、IAMユーザ名を「DSM」に設定します。
アクセスキーが必要になるので、「Generate an access key for each user」のチェックが有効であることを確認します。
IAM_Management_Console3.png

作成できたら、Access KeyとSeacret Keyを控えます。
csvファイルをダウンロードして、保存しておくといいでしょう。(再発行できません)
IAM_Management_Console4.png

Usersの一覧画面に戻って「DSM」の文字の箇所をクリックします。
少々わかりにくいですがチェックボックスはハズレです。
IAM_Management_Console5.png

Permissionsセクションの「Attuch User Policy」を選択します。
IAM_Management_Console6.png

「Policy Generater」を選択して、「Select」ボタンをクリック
IAM_Management_Console7.png

AWS Serviceを「Amazon EC2」に設定します。
Actionsを以下3点をチェックします。

  • DescribeImages
  • DescribeInstances
  • DescribeTags

ARNには「*」を設定します。
以上を設定して「Add Statement」ボタンをクリック
IAM_Management_Console8.png

以下のように表示されます。
設定内容を確認して「Next Step」ボタンをクリックします。
IAM_Management_Console9.png

「Apply Policy」ボタンをクリックします。
IAM_Management_Console10.png

設定が完了すると、このように表示されます。
IAM_Management_Console11.png

#2.Deep Security Managerへのクラウドアカウントの登録
Managerコンソールを開いて「コンピュータ」→「クラウドアカウントの追加」をクリック
クラウドアカウントの追加1.png

プロバイダの地域を作成したIAMユーザーが配置されているRegionに設定します。
名前欄の内容は、コンピュータグループ名になります。
アクセスキーIDと秘密アクセスキーに、作成したIAMユーザーのAccess KeyとSeacret Keyを登録します。
クラウドアカウントの追加2.png

概要情報が表示されます。
「完了」ボタンをクリックします。
クラウドアカウントの追加3.png

設定内容が正しければ、このように表示されます。
クラウドアカウントの追加4.png

コンピュータ画面を表示すると、当該Region上のEC2がコンピュータグループ「Amazon」配下に登録されています。
クラウドアカウントの追加5.png

#3.AutoScaleしたインスタンスをDeep Security Managerで管理する
ここでざっと、AutoScaleしたインスタンスが、Manager登録されるまでの流れを記します。

  1. ManagerにAgentからの登録を許可する設定をしておきます。
  2. AutoScaleで作成されたインスタンスは、cloud-initにてManagerのポート4119からAgentをダウンロードし、自分自身にAgentをインストールします。
  3. AutoScaleで作成されたインスタンスは、cloud-initにてManagerのポート4120にアクセスして、自分自身を登録しに行きます。

それでは、作業をしていきましょう。
Managerは、Security Groupにて、Agentからの通信ポート4119, 4120を開けておく必要があります。

次に、ManagerにAgentからの登録を許可する設定を施します。
Managerの「管理」→「システム設定」→「Agent」を選択します。
「Agentからのリモート有効化を許可」にチェックを入れます。
自動化有効化1.jpg

画面右上の「ヘルプ」から「インストールスクリプト」を選択します。
自動有効化2.jpg

インストール対象として「Agent(推奨)」を選択し、「追加ソフトウェアのインポート」のリンクを選択します。
自動有効化3.png

AutoScaleするインスタンスに導入するAgentのインストールモジュールを設定します。
モジュールが手元にない場合は、「トレンドマイクロのダウンロードセンター」リンクからDeep Security Agentのインストールモジュールをダウンロードして設定します。
今回は、Amazon Linuxのインストールモジュールを使用します。
自動有効化5.jpg

完了をクリックします。
自動有効化6.jpg

インストールモジュールのインポートが終わったら、「プラットフォーム」にAmazon Linuxが追加されているので、設定します。
「Agentを自動的に有効化」にチェックを入れるとインストールスクリプトが生成されますので、コピーしておきます。
自動有効化7.jpg

AutoScaleの設定を簡単に記します。
AWSコンソールのEC2画面から、「Launch Configrations」を選択し、「Create launch configuration」ボタンをクリックします。
AutoScale1.jpg

Auto Scaleの元になるAMIを選択します。
当該AMIにはDeep Security Agentが導入されていないものを選択してください。
AutoScale2.jpg

必要に応じたインスタンスサイズを選択します。
Agentは、メモリを512MBを要求するので、適切なインスタンスタイプを選択します。
Trend Micro Deep Security 9.0 SP1 システム要件
AutoScale3.jpg

Launch Configration名を指定して、Advanced Detailsセクション内の「User Data」欄に先ほどコピーしたスクリプトを貼り付けます。
AutoScale4.jpg

あとは、適宜設定を進めます。
設定が完了したら、AutoScaleで作成されたインスタンスがDeep Security Managerに登録されます。
AutoScale5.jpg

スケールアウトしてみます。
AutoScale6.jpg

Managerに追加登録されますね。
AutoScale7.jpg

スケールインしてみます。
AutoScale8.jpg

Managerから削除されました。
AutoScale9.jpg

お疲れ様でした。
※侵入防御ルール等の自動登録については、後日補足します。

2014/09/17追記:Auto Scaleしたインスタンスに侵入防御ルールを適用するに記載しました。

26
25
3

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
26
25

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?