Azure上のLinux環境のマルウェア対策どうしようかなと考えていたときに、VMの拡張機能で「Agent for Cloud Workload Protection (Linux)」があることを知りました。
Agent for Cloud Workload Protection (Linux)
検証してみたので手順を残しておきます。
環境
- Ubuntu Server 16.04 LTS
- 執筆時点では16.04 LTSがサポートされる最新バージョンです。17.10/18.04に拡張機能でインストールしようとしてもうまくいかないので注意してください。
Symantecアカウント取得
拡張機能として追加するためには、Cloud Workload Protectionポータル画面からキー情報を取得する必要があります。
無料体験版を登録して検証したいと思います。
無料体験版ページ にいってアカウントを作成します。
Azureと接続する
設定画面が出てくるのでここにAzureサブスクリプションの情報を入れていきます。ディレクトリIDなどの情報は、事前に サービスプリンシパルを取得 しておきましょう。
Customer ID取得
拡張機能インストール時に指定するCustomer ID等を取得します。
拡張機能からAgentをインストールする
ここからはAzureポータル画面からの操作です。
[追加]を選択し、[Agent for Cloud Workload Protection (Linux)]を選択します。
Cloud Workload Protectionポータルに戻ってみると、エージェントが認識されていることが分かります。
動作確認
Eicarファイルで試してみます。
- UbuntuサーバにSSHでログインしてEicarファイルをダウンロードします。
# wget http://www.eicar.org/download/eicar.com
実際にサーバ上でも確認してみると、eicarファイルは削除されていました。
まとめ
とりあえず手動スキャンさせるところまでやってみました。
CWPポータルからサーバの状態を一元管理できるので、対象サーバが増えるほど効果を発揮しそうです。
VM拡張機能からセットアップできるのがいいですね!