この記事について
エンジニアとして必ず直面する問題、それは公式ドキュメント。。。
大半の公式ドキュメントは英語で書かれており、日本語で読めるものは一応あるものの、機械翻訳のものばかり。それは弊社のドキュメントも例外ではありません。この問題が特にエンジニアの頭を悩ますのが新製品の導入時だと考えています。
ネットアップ合同会社のクラウド分野の担当者として、今回はCloud Secureの導入手順を出来るだけわかりやすく解説できたらと思い、この記事を書きました。
Cloud Secureってなに?
Cloud SecureはNetAppが提供するNetApp Cloud Insightsの機能の一部であり、ハイブリッドマルチクラウド環境全体を監視できるUBA(User Behavior Analytics: ユーザー行動分析)サービスです。特徴としては以下の三つです↓
可視性
名前にCloudと入ってはいますが、オンプレミス・クラウド両方に保存されている重要な企業データへのユーザアクセスを一元的に可視化し、制御できます。
データ保護
高度な機械学習と異常検出機能により、悪意のあるユーザや悪意のあるユーザによる組織データの不正使用を防止・警告します。
コンプライアンス
オンプレミスまたはクラウドに保存されている重要な企業データへのユーザデータアクセスを監査することで、企業のコンプライアンスを確保します。
ではどのようにCloud Secureが機械学習を使って異常検出を行うかというと、環境内に配置したData Collectors・User Directory Collectors・エージェントを用いリアルタイムで情報収集をしています。
Data Collectorsが監視対象として登録したONTAPシステムからアクセス情報収集、User Directory Collectorsがユーザ情報をディレクトリサービスサーバ(例: Active Directory)から収集します。
それらが収集した情報をエージェントがCloud Secureに送信し、監視体制が構築されます。設定手順は主にこれら三つのセットアップからなります。
1. エージェントの設定
Cloud Secureは最低1つ(各環境で一つ。複数環境の監視も可能)のエージェントを使用してユーザアクティビティ情報を収集していきます。
エージェントは環境内のデバイスに接続し、 Cloud Secure SaaS レイヤに送信されたデータを収集して分析します。
エージェントのインストールの前に、インストール先の環境が以下の要件を満たしているか確認が必要です。
エージェントの要件
| コンポーネント | 要件 |
|---|---|
| OS | 次のいずれかのOS Red Hat Enterprise Linux 7.x 64-bit Red Hat Enterprise Linux 8.x 64-bit CentOS 7.x 64-bit CentOS 8 Stream Ubuntu 20~22 64-bit 他のアプリケーションレベルのソフトウェアを実行していない必要があるので、専用のサーバを使用することを推奨します。 |
| Command Line Tool | インストール、スクリプトの実行、およびアンインストールに 'Sudo su – ' コマンドが実行できる。 |
| CPU | 4 CPU cores |
| メモリ | 16 GB RAM |
| 使用可能なディスクスペース | /opt/netapp 35GB(最小) ただし、Cloud Insightsのエージェントもインストールする際は、最小50 ~ 55 GB。 /opt/netapp に 25-30 GB + /var/log/netapp に 25 GB |
| ネットワーク | 100Mbps ~ 1Gbps のイーサネット接続、静的 IP アドレス、すべてのデバイスへの IP 接続、および Cloud Secure インスタンスへの必要なポート( 80 または 443 ) |
Tips
- AWSのEC2にエージェントをインストールする際、推奨されているサイズはt2.xlargeです。
- t2.largeでも一応動かせますが、おススメはしません。あくまでも金策です(笑)。
- インストールでUnzipが必要になるので、以下のコマンドで入手
sudo yum install unzip - 私が使っているOSはAWS MarketPlace AMIのCentOS 7 (x86_64) - with Updates HVMというのもです。
ネットワークの要件
Cloud Network Access Rules
| プロトコル | ポート | 宛先 | 方向 | 用途 |
|---|---|---|---|---|
| TCP | 443 | < サイト名 > .cs01-ap-1.cloudinsights.netapp.com < サイト名 > .c01-ap-1.cloudinsights.netapp.com < サイト名 > .c02-ap-1.cloudinsights.netapp.com |
Outbound | Cloud Insights へのアクセス |
| TCP | 443 | gateway.c01.cloudinsights.netapp.com agentlogin.cs01-ap-1.cloudinsights.netapp.com |
Outbound | 認証サービスへのアクセス |
※Cloud Network Access Rulesはリージョンごとに変化します。載せているのはAPAC用です
ネットワーク内ルール
| プロトコル | ポート | 宛先 | 方向 | 用途 |
|---|---|---|---|---|
| TCP | 389 ( LDAP ) 636 ( LDAPS / start-TLS ) | LDAP サーバ URL | Outbound | LDAP に接続します |
| TCP | 443 | クラスタまたはSVMの管理IPアドレス(SVMコレクタの設定に応じて) | Outbound | ONTAP との API 通信 |
| TCP | 35000~55000 | SVM データ LIF の IP アドレス | 双方向 | FPolicy イベントのための ONTAP との通信 |
| TCP | 7 | SVM データ LIF の IP アドレス | 双方向 | ONTAP と Cloud Secure 間の双方向。 エージェントが SVM LIF に ping を送信します。 |
2.エージェントのインストール手順
-
Cloud Secure 環境に管理者またはアカウント所有者としてログインします。
-
[Admin] > [Data Collectors] > [Agents] > [+ Agent] をクリックします
-
[ エージェントの追加 ] ページが表示されます。
-
エージェントをインストールするオペレーティングシステムを選択します。
-
エージェントサーバが最小システム要件を満たしていることを確認します。
4 CORES, 16GB RAM, 30GB ディスク空き容量 -
エージェントサーバでサポートされているバージョンの Linux が実行されていることを確認するには、 サポートされているバージョン( i ) をクリックします。
-
ネットワークでプロキシサーバを使用している場合は、プロキシセクションの指示に従ってプロキシサーバの詳細を設定してください。
-
[ クリップボードにコピー ] アイコンをクリックして、インストールコマンドをコピーします。
-
ターミナルウィンドウでインストールコマンドを実行します。
例)PuTTyで接続したCentOSのコマンドライン -
インストールが正常に完了すると、Cloud Secureのマネコンに
新しいエージェント検出を表示されます。
3. ユーザディレクトリコネクタの設定
-
Cloud Secure 環境に管理者またはアカウント所有者としてログインします。
-
[Admin] > [Data Collectors] > [User Directory Collectors] > [+ User Directory Collector] をクリックします
-
[ Add User Directory ] ページが表示されます。
-
使用するユーザーディレクトリ種類を選択します。
5.以下の表を参考に必要なデータを入力してください
| 名前 | 説明 |
|---|---|
| Name | マネコン内で表示用のの名前。例: Project-X AD |
| Agent | リストから先ほど設定したエージェントを選択。 |
| Server IP/Domain Name | Active Directory をホストしているサーバの IP アドレスまたは完全修飾ドメイン名( FQDN ) |
| Forest Name | ディレクトリ構造のフォレストレベル。フォレスト名には、 SVM で所有しているドメイン名と同様に、 x.y.z...形式とDirect domain name の両方の形式が使用できます。 例: hq.netapp.com ⇔ DC=hq,DC=netapp,DC=com Oraganisational Unitを指定する場合は最初に指定してください。 例: OU=sales,DC=hq,DC=netapp,DC=com 特定のユーザーには以下のように CN=username,OU=sales,DC=hq,DC=netapp,DC=com |
| BIND DN & Password | ディレクトリの検索が許可されているユーザーのクレデンシャル、AD作成の際にこれ用のユーザーを作っていると便利です。 |
| Protocol | LDAP 、 ldaps 、 ldap-start-TLS |
Tips
Forest Nameにスペースは入れないでください!
例
✖ DC=HQ, DC=companyname, DC=com
◎ DC=HQ,DC=companyname,DC=com
4. データコレクタの設定
-
Cloud Insights 環境に管理者またはアカウント所有者としてログインします。
-
[Admin] > [Data Collectors] > [+ Data Collectors] をクリックします
-
使用可能なデータコレクタが表示されるので、ご自身が使用するONTAPファイルシステムを選択し、[+ Monitor] をクリックします。
-
SVM の設定ページが表示されます。各フィールドに必要なデータを入力します。
| 名前 | 説明 |
|---|---|
| Name | Cloud Secure内で表示用の名前。例: ONTAP Data Collector |
| Agent | リストから先ほど設定したエージェントを選択。 |
| Connect via Management IP | クラスタ IP または SVM 管理 IP を選択します |
| Cluster management IP Address | 上記の選択に応じて、クラスタまたは SVM の IP アドレス。 |
| SVM Name | SVM の名前(このフィールドはクラスタ IP 経由で接続する場合は必須です) |
| Username | SVM/クラスタにアクセスするためのユーザ名 クラスタ IP を介して追加する場合の選択肢は: 1. Cluster管理者権限を持つユーザー 2. fsxadmin(FSxNの場合) SVM IP を介して追加する場合の選択肢は: 1. SVMの管理者権限を持つユーザー 2. fsxadmin(FSxNの場合) |
| Password | 上記のユーザーのパスワード |
※FSxN = Amazon FSx for NetApp ONTAP
参考資料
今回説明させていただ内容は一般に公開されている内容です。
もっと詳しく、Cloud Insightsまで含めた内容を知りたい方は以下のリンクから公式ドキュメントをご覧ください。
https://docs.netapp.com/us-en/cloudinsights/cs_intro.html