こんにちは、ひろかずです。
本日(2018/5/24執筆時点)、Deep Security 11.0が世界同時GAされました。
早速Readmeを読み解いてみたので、一筆書きます。
注意
全体的にAWS利用と関係の薄い(ひろかずの興味の外にある)NSXやVMWareについては、言及しません。
気になる人は、ぜひ参考ドキュメントを読んでください!
参考ドキュメント
Readme for Trend Micro (TM) Deep Security Manager 11.0
Deep Security Manager - Agent compatibility by platform
What's new? Deep Security 11.0
気になる新機能
FIPS 140-2 support
暗号モジュールに関するセキュリティ要件の仕様を規定する米国連邦標準規格である、FIPS 140-2規格に準拠したモードで暗号モジュールを実行するための設定があるとのことです。
機能制限
詳しくは、FIPS 140-2 supportに記載されていますが、一部の機能の利用に制限があります。
- マルチテナント
- SAML2.0プロバイダサポート
- SMTP設定でのSTARTTLSオプションの利用
- Threat Defence機能で接続された他システム連携
- AzureのCloudアカウント連携
- Azureで使うキーペア生成機能
- ロードバランサ設定
システム要求
Deep Security Manager
以下OSのみFIPS 140-2サポートに対応しています。(何れも64bit OS)
- RHEL7
- Windows Server 2016
- Windows Server 2012 / 2012 R2
- Windows Server 2008 / 2008 R2
データベース
- PostgreSQL 9.6
- Microsoft SQL Server { 2016 | 2014 | 2012 | 2008 R2 | 2008 } Enterprise Edition
Deep Security Agent
以下OSのみFIPS 140-2サポートに対応しています。(何れも64bit OS)
- Windows Server { 2016 | 2012 R2 | 2012 | 2008 R2 | 2008 }
- Windows { 10 | 8 | 7 }
- RHEL 7
- CentOS 7
所感
AWSで高度な構成をする時に、ロードバランサ設定を用いることがありますので、注意したいところですね。
また、OracleがFIPSモードでのSSL接続に対応していないのは意外でした。
全体的に対応OSが絞られています。
使う際は、システム全体を注意したいですね。
アプリケーションコントロール(ソフトウェア変更リストのフィルタ機能)
アプリケーションコントロールで検知された内容は、時々長大になって扱いにくい事があります。
これらをフィルタする機能が追加されました。
所感
めちゃくちゃ強力な反面、まだまだ実運用に乗せるには課題が多い機能ですが、着々と進化していってますね。
変更監視(リアルタイムスキャンの改善)
Linuxの変更の検索がリアルタイムスキャンに対応しました。
これまで、タスクスケージュールを組んで対応していたところが、リアルタイムにファイルの変更を検知するようになります。
所感
これは嬉しいアップデートですね!
リクエストが多い機能だったと思います。使い倒しましょう!
成熟したエージェントプラットフォームのサポート
10.1 ~ 10.3で対応しなかったプラットフォームも11で対応しているものがあります。
詳しくはこちらを参照してください
Amazon Linux 2 対応
所感
説明不要!待ってました!
最小限のTLSバージョン強制
TLS1.0もまだ互換してますが、Deep Security ManagerやAgentの通信をTLS1.2が標準的に使われます。
所感
以前は、TLS1.2対応するために、設定ファイルを書き換えていましたが、デフォルトで対応するようになったのですね。
Agent側に古いOSが居る場合は、curlのバージョンにも注意です。
10.1 ~ 10.3で提供された機能のインクリメント
数が多いので簡単にピックアップします。
全文はこちら
機械学習対応
アンチマルウェア機能に機械学習が追加されました。
アプリケーションコントロール(新しいプラットフォームのサポート)
一気に利用プラットフォームが拡大しました。
まだまだ課題は多いですが、たくさん使ってフィードバックしましょう!
Fail open option
TCP最大接続数で通信が遮断されてしまった人も多いのではないでしょうか。
遮断せずに通す機能が実装されています。
Zero impact network driver install
Agentアップグレード時のネットワーク瞬断が発生しなくなりました。
アップグレードの諸注意
これもインパクトが大きそうなものをピックアップします。
アップブレードの前は、必ずreadmeをチェックしましょう!
アップグレード成功後、10分以内に「ソフトウェアアップデート:エージェントソフトウェアのアップグレードに失敗しました」というエラーが発生することがある。
ドキドキしてステータスを見守っている側としては、心臓に悪いですね。
データベースがPostgresで、通信を暗号化している場合、アップグレードが失敗する
必ず、手動で通信の暗号化を無効にしましょう
アプリケーションコントロール制御がONの場合、アップグレードがブロックされる
アプリケーションコントロール制御を事前にメンテナンスモードにしておきましょう
データベースをバックアップする
アップグレード中は、データベースが使えません。
その間、Managerは機能しないので、バックアップを取得して、営業時間外にアップグレードしましょう。
DS11.0の既知の問題
インパクトが大きそうなものをピックアップします。
全文はReadmeを参照してください。
AWS WorkSpaceでデフォルトのファイアウォールポリシーを使う
"unhealthy"ステータスになってしまうそうです。
Relay機能を無効化した場合、再起動すること
OSがハングする可能性があるとのことです。
アプリケーションコントロール有効化後にベースライン構築処理が動く
2008環境の場合、処理に時間がかかる場合があります。
また、TiWorker.exe(Widnows Update関連機能)が動いていると、処理が遅くなります。
アプリケーションコントロールは、Windows Defenderと互換性がない
両方実行すると、パフォーマンスに重大な影響が出雨可能性があるそうです。
Deep Security Agentの不正プログラム対策機能は、Windows Defenderを無効化します。
共有ルールセットの処理時間
m3.mediumで1時間以上かかる場合がある
Oracle 12c利用環境でのDS11は、マルチテナントをサポートしない
アプリケーションコントロールのルールセットが大きい場合
保護処理の実行まで数分かかる場合がある
不正プログラム対策機能の包含/除外リスト
現在、Container内のパスを指定する機能はない
Deep Security Azure Connectorは、Azure Resource Manager a.k.a ARM VM(v2)によって作成された仮想マシンを識別しない
通常のコンピュータリストには載ってきます。
最後に
DS10.1 ~ 10.3のサポート期限は、半年後です。
計画的にアップデートしましょう!
Deep Security Software - Feature releases
今日はここまでです。
お疲れ様でした。