3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

Cloud Secure導入手順

Last updated at Posted at 2022-10-06

この記事について

エンジニアとして必ず直面する問題、それは公式ドキュメント。。。
大半の公式ドキュメントは英語で書かれており、日本語で読めるものは一応あるものの、機械翻訳のものばかり。それは弊社のドキュメントも例外ではありません。この問題が特にエンジニアの頭を悩ますのが新製品の導入時だと考えています。
ネットアップ合同会社のクラウド分野の担当者として、今回はCloud Secureの導入手順を出来るだけわかりやすく解説できたらと思い、この記事を書きました。

Cloud Secureってなに?

Cloud SecureはNetAppが提供するNetApp Cloud Insightsの機能の一部であり、ハイブリッドマルチクラウド環境全体を監視できるUBA(User Behavior Analytics: ユーザー行動分析)サービスです。特徴としては以下の三つです↓
可視性
名前にCloudと入ってはいますが、オンプレミス・クラウド両方に保存されている重要な企業データへのユーザアクセスを一元的に可視化し、制御できます。

データ保護
高度な機械学習と異常検出機能により、悪意のあるユーザや悪意のあるユーザによる組織データの不正使用を防止・警告します。

コンプライアンス
オンプレミスまたはクラウドに保存されている重要な企業データへのユーザデータアクセスを監査することで、企業のコンプライアンスを確保します。

ではどのようにCloud Secureが機械学習を使って異常検出を行うかというと、環境内に配置したData Collectors・User Directory Collectors・エージェントを用いリアルタイムで情報収集をしています。
Data Collectorsが監視対象として登録したONTAPシステムからアクセス情報収集、User Directory Collectorsがユーザ情報をディレクトリサービスサーバ(例: Active Directory)から収集します。
それらが収集した情報をエージェントがCloud Secureに送信し、監視体制が構築されます。設定手順は主にこれら三つのセットアップからなります。

1. エージェントの設定

Cloud Secureは最低1つ(各環境で一つ。複数環境の監視も可能)のエージェントを使用してユーザアクティビティ情報を収集していきます。
エージェントは環境内のデバイスに接続し、 Cloud Secure SaaS レイヤに送信されたデータを収集して分析します。
エージェントのインストールの前に、インストール先の環境が以下の要件を満たしているか確認が必要です。

エージェントの要件

コンポーネント 要件
OS 次のいずれかのOS
Red Hat Enterprise Linux 7.x 64-bit
Red Hat Enterprise Linux 8.x 64-bit
CentOS 7.x 64-bit 
CentOS 8 Stream 
Ubuntu 20~22 64-bit
他のアプリケーションレベルのソフトウェアを実行していない必要があるので、専用のサーバを使用することを推奨します。
Command Line Tool インストール、スクリプトの実行、およびアンインストールに 'Sudo su – ' コマンドが実行できる。
CPU 4 CPU cores
メモリ 16 GB RAM
使用可能なディスクスペース /opt/netapp 35GB(最小)
ただし、Cloud Insightsのエージェントもインストールする際は、最小50 ~ 55 GB。
/opt/netapp に 25-30 GB + /var/log/netapp に 25 GB
ネットワーク 100Mbps ~ 1Gbps のイーサネット接続、静的 IP アドレス、すべてのデバイスへの IP 接続、および Cloud Secure インスタンスへの必要なポート( 80 または 443 )

Tips

  1. AWSのEC2にエージェントをインストールする際、推奨されているサイズはt2.xlargeです。
  2. t2.largeでも一応動かせますが、おススメはしません。あくまでも金策です(笑)。
  3. インストールでUnzipが必要になるので、以下のコマンドで入手
    sudo yum install unzip
  4. 私が使っているOSはAWS MarketPlace AMIのCentOS 7 (x86_64) - with Updates HVMというのもです。

ネットワークの要件

Cloud Network Access Rules

プロトコル ポート 宛先 方向 用途
TCP 443 < サイト名 > .cs01-ap-1.cloudinsights.netapp.com
< サイト名 > .c01-ap-1.cloudinsights.netapp.com
< サイト名 > .c02-ap-1.cloudinsights.netapp.com
Outbound Cloud Insights へのアクセス
TCP 443 gateway.c01.cloudinsights.netapp.com
agentlogin.cs01-ap-1.cloudinsights.netapp.com
Outbound 認証サービスへのアクセス

※Cloud Network Access Rulesはリージョンごとに変化します。載せているのはAPAC用です

ネットワーク内ルール

プロトコル ポート 宛先 方向 用途
TCP 389 ( LDAP ) 636 ( LDAPS / start-TLS ) LDAP サーバ URL  Outbound LDAP に接続します
TCP 443 クラスタまたはSVMの管理IPアドレス(SVMコレクタの設定に応じて) Outbound ONTAP との API 通信
TCP 35000~55000 SVM データ LIF の IP アドレス 双方向 FPolicy イベントのための ONTAP との通信
TCP 7 SVM データ LIF の IP アドレス 双方向 ONTAP と Cloud Secure 間の双方向。
エージェントが SVM LIF に ping を送信します。

2.エージェントのインストール手順

  1. Cloud Secure 環境に管理者またはアカウント所有者としてログインします。

  2. [Admin] > [Data Collectors] > [Agents] > [+ Agent] をクリックします

  3. [ エージェントの追加 ] ページが表示されます。

  4. エージェントをインストールするオペレーティングシステムを選択します。

  5. エージェントサーバが最小システム要件を満たしていることを確認します。
    4 CORES, 16GB RAM, 30GB ディスク空き容量

  6. エージェントサーバでサポートされているバージョンの Linux が実行されていることを確認するには、 サポートされているバージョン( i ) をクリックします。

  7. ネットワークでプロキシサーバを使用している場合は、プロキシセクションの指示に従ってプロキシサーバの詳細を設定してください。

  8. [ クリップボードにコピー ] アイコンをクリックして、インストールコマンドをコピーします。

  9. ターミナルウィンドウでインストールコマンドを実行します。
    例)PuTTyで接続したCentOSのコマンドライン

  10. インストールが正常に完了すると、Cloud Secureのマネコンに新しいエージェント検出を表示されます。

3. ユーザディレクトリコネクタの設定

  1. Cloud Secure 環境に管理者またはアカウント所有者としてログインします。

  2. [Admin] > [Data Collectors] > [User Directory Collectors] > [+ User Directory Collector] をクリックします

  3. [ Add User Directory ] ページが表示されます。

  4. 使用するユーザーディレクトリ種類を選択します。

5.以下の表を参考に必要なデータを入力してください

名前 説明
Name マネコン内で表示用のの名前。例: Project-X AD
Agent リストから先ほど設定したエージェントを選択。
Server IP/Domain Name Active Directory をホストしているサーバの IP アドレスまたは完全修飾ドメイン名( FQDN )
Forest Name ディレクトリ構造のフォレストレベル。フォレスト名には、 SVM で所有しているドメイン名と同様に、 x.y.z...形式とDirect domain name の両方の形式が使用できます。
例: hq.netapp.com ⇔ DC=hq,DC=netapp,DC=com
Oraganisational Unitを指定する場合は最初に指定してください。 
 例: OU=sales,DC=hq,DC=netapp,DC=com 
 特定のユーザーには以下のように 
 CN=username,OU=sales,DC=hq,DC=netapp,DC=com
BIND DN & Password ディレクトリの検索が許可されているユーザーのクレデンシャル、AD作成の際にこれ用のユーザーを作っていると便利です。
Protocol LDAP 、 ldaps 、 ldap-start-TLS

Tips
Forest Nameにスペースは入れないでください!

✖ DC=HQ, DC=companyname, DC=com
◎ DC=HQ,DC=companyname,DC=com

4. データコレクタの設定

  1. Cloud Insights 環境に管理者またはアカウント所有者としてログインします。

  2. [Admin] > [Data Collectors] > [+ Data Collectors] をクリックします

  3. 使用可能なデータコレクタが表示されるので、ご自身が使用するONTAPファイルシステムを選択し、[+ Monitor] をクリックします。

  4. SVM の設定ページが表示されます。各フィールドに必要なデータを入力します。

名前 説明
Name Cloud Secure内で表示用の名前。例: ONTAP Data Collector
Agent リストから先ほど設定したエージェントを選択。
Connect via Management IP クラスタ IP または SVM 管理 IP を選択します
Cluster management IP Address 上記の選択に応じて、クラスタまたは SVM の IP アドレス。
SVM Name SVM の名前(このフィールドはクラスタ IP 経由で接続する場合は必須です)
Username SVM/クラスタにアクセスするためのユーザ名
クラスタ IP を介して追加する場合の選択肢は:
1. Cluster管理者権限を持つユーザー
2. fsxadmin(FSxNの場合)
SVM IP を介して追加する場合の選択肢は:
1. SVMの管理者権限を持つユーザー
2. fsxadmin(FSxNの場合) 
Password 上記のユーザーのパスワード

※FSxN = Amazon FSx for NetApp ONTAP

参考資料

今回説明させていただ内容は一般に公開されている内容です。
もっと詳しく、Cloud Insightsまで含めた内容を知りたい方は以下のリンクから公式ドキュメントをご覧ください。
https://docs.netapp.com/us-en/cloudinsights/cs_intro.html

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?