1. はじめに
TrendMicro Cloudoneのデモを実施したので、その結果を本記事に纏める。TrendMicroが用意したCloudFormationのスタックを実行するだけ、デプロイしたAWSリソースもスタックの削除を行えば自動的に削除されるので安心。
2. デモ環境の基本構成
Protected Subnetに所属しているEC2インスタンス(Webサーバ)のデフォルトルートは必ず、EC2インスタンス(Network Security)のENIを通過して、NATGW経由でインターネットへ出る。また、インターネット(Internetgateway)からの通信は必ずEC2インスタンス(Network Security)のENIを通過するようになる。つまり、インターネットからのInboud通信、インターネットへのOutbout通信は必ずNetwork Security(IPS/IDS)を通過するような形となっている。
3. デモ環境の作成方法
CloudFormationのリンクをクリックして必要事項を記入。
①ページ:前提条件
②ページ:スタックの詳細を設定
Trendmicro CloudoneのAPI KeyをCloudoneのアカウント管理画面から生成して、Key情報を入力する。CloudFormationを実行することでEC2インスタンスが生成されるので、そのEC2インスタンスのログインに必要なKey-Pairの情報もこちらで選択する。
重要なのは、API KeyとEC2インスタンスのKey-Pairくらい。後の設定は適当に行いDeployを実施すると。以下のような形でCloudFormationスタックのデプロイが成功する。
4. IPS/IDSのお試しコマンド
こちらに記載の以下コマンドで既知の脆弱性を突くコマンドを実際に実行すると、
curl -H "User-Agent: () { :; } ; /bin/eject" http://<web server ip>
Cloudwatch Logsのログメッセージによりフィルタされるログが検知される。
以上