Azure上のLinux環境のマルウェア対策どうしようかなと考えていたときに、VMの拡張機能で「Agent for Cloud Workload Protection (Linux)」があることを知りました。
Agent for Cloud Workload Protection (Linux)
検証してみたので手順を残しておきます。
環境
- Ubuntu Server 16.04 LTS
- 執筆時点では16.04 LTSがサポートされる最新バージョンです。17.10/18.04に拡張機能でインストールしようとしてもうまくいかないので注意してください。
Symantecアカウント取得
拡張機能として追加するためには、Cloud Workload Protectionポータル画面からキー情報を取得する必要があります。
無料体験版を登録して検証したいと思います。
無料体験版ページ にいってアカウントを作成します。
確認メールが届くので記載されたリンクをクリックするとポータル画面にいくことができます。
Azureと接続する
左バーの[設定]を選択し、[Azure接続]を選択します。
+ボタンを押します。
設定画面が出てくるのでここにAzureサブスクリプションの情報を入れていきます。ディレクトリIDなどの情報は、事前に サービスプリンシパルを取得 しておきましょう。
しばらくすると、こんな感じでAzureサブスクリプションに作成されているVMが認識されます。
Customer ID取得
拡張機能インストール時に指定するCustomer ID等を取得します。
[設定]から[ダウンロード]を選択します。
[表示]を選択します。
[カスタマーID]、[ドメインID]、[カスタマーシークレットキー]をメモっておきます。
拡張機能からAgentをインストールする
ここからはAzureポータル画面からの操作です。
対象のVMで[拡張機能]を選択します。
[追加]を選択し、[Agent for Cloud Workload Protection (Linux)]を選択します。
先程メモした[カスタマーID]、[ドメインID]、[カスタマーシークレットキー]を入力し、[OK]を選択します。
しばらく経つと「SCWPAgentForLinux」がインストールされます。
Cloud Workload Protectionポータルに戻ってみると、エージェントが認識されていることが分かります。
動作確認
Eicarファイルで試してみます。
- UbuntuサーバにSSHでログインしてEicarファイルをダウンロードします。
# wget http://www.eicar.org/download/eicar.com
CWPポータルに戻り、該当インスタンスを選択し、[マルウェア対策スキャン]を実行します。
[今すぐスキャン]を実行します。
ジョブの結果を見てみるとマルウェアが1件検出されています。
実際にサーバ上でも確認してみると、eicarファイルは削除されていました。
まとめ
とりあえず手動スキャンさせるところまでやってみました。
CWPポータルからサーバの状態を一元管理できるので、対象サーバが増えるほど効果を発揮しそうです。
VM拡張機能からセットアップできるのがいいですね!