share facebook facebook2 twitter menu hatena pocket slack

2016.03.14 MON

DSaaSでお手軽サーバー防御、初期セットアップ方法

WRITTEN BY齊藤 愼仁

dsaas-setup-001

シンジです。Trend Micro Deep Security as a Serviceを使って、手軽に自身のサーバーにIPS/IDSやアンチウィルスのリアルタイムスキャナーをセットアップすることが出来ます。今回は初期セットアップ方法もそうですが、ちょっとコツがいるので、その辺を書いていこうと思います。[1/15 22時 修正点見つけたので暇できたら直しますー]

前提として

お手軽すぎるのですが、そこそこマシンパワー食うので(特にメモリ)、弱小インスタンスの場合は要注意です。

また、本気でサーバーのセキュリティ対策として考えている場合、一般的なクライアント向けアンチウィルスソフトウェアなどとは異なり、Deep Securityはインストール後のチューニング及び、監視・対処運用がとても大事になります。今回はすだちブログに仕込みますので、既存環境へのインストールも対象としますが、普通にやるとサービス数分止まりますので、計画的にやりましょう。

それでも管理サーバーが不要なDSaaSは、優秀なセキュリティアプライアンスの中でもかなり手軽にセットアップできる優れた製品です。

本気でやりたいけど自分で出来なそうな人は

外注してください。ノウハウ持った会社にセキュリティ運用して貰う方が確実です。実際に事件が起きたときの初動速度が桁違いです。

securitypackでAWS環境を徹底サポート|AWS専業のcloudpack
https://cloudpack.jp/service/option/securitypack.html

さて、30日無料体験ありますので

今回はこれを試します。

Trend Micro Deep Security as a Service
https://app.deepsecurity.trendmicro.com/SignIn.screen

上のURLは管理コンソールへのログイン画面でもあるので、お気に入り入れておくと良いです。

サインアップしてみましょう

dsaas-setup-002

必要項目を入力して次へ、利用規約に同意すればメールが飛んできます。

dsaas-setup-003

もしメール飛んでこなかったら、単純にメールアドレス書き間違えてるだけなので、もう一回別のアカウント名で新規登録しましょう。こんなメールが飛んできますのでリンクをクリック。

dsaas-setup-004

アカウント名とユーザー名は自動入力されますので、パスワードだけ入力してGOGOGOGOGOGOGOGOGOGOGOOOOO

dsaas-setup-005

ログイン出来れば完了です。

dsaas-setup-006

さあここからが本番です

既に登録されているコンピュータが居ますが、正直どうでもいいのでシカトです。削除しても良いです。この後は、

  • エージェントをダウンロードする
  • エージェントを対象のサーバーにインストールする
  • エージェントとマネージャーが疎通出来るようにする
  • 管理対象コンピュータをマネージャーに登録する
  • 壮大なる戦いが始まる

エージェントをセットアップする

今回はAmazon Linux 64bitを対象にします。エージェントのダウンロード方法はいろいろあるのですが、シンジはここでアホほどつまづいたので、結果、こうします。

mkdir ds
cd ds
wget http://files.trendmicro.com/products/deepsecurity/en/9.6/Agent-amzn1-9.6.1-3500.x86_64.zip
unzip Agent-amzn1-9.6.1-3500.x86_64.zip
yum localinstall Agent-Core-amzn1-9.6.1-3500.x86_64.rpm
/etc/init.d/ds_agent restart //普通は勝手に起動してるのでやらなくてもいいです

インストールと起動が終わったら、ダウンロードしたファイルは削除しても構いません。

セキュリティグループの設定変更

TCP 4118をo.o.o.o/oで空けてやります。

マネージャーにコンピュータ登録する

Deep Securityのマネージャーに、エージェントをインストールしたサーバーを登録してやります。

新規コンピュータをクリック

dsaas-setup-007

ポリシーどうしますか?って聞かれるので、今回はLinuxを選択しましたが、これ、本番環境で未チューニングのデフォルトポリシーを適用すると、防御しすぎて絶賛サービス停止しますので、なしにするか、勇気を出してLinuxを選択して下さい。シンジは後者にしました。

dsaas-setup-008

で、完。

dsaas-setup-009

元の画面に戻ります、こうなっていればOK。なっていなければドメイン名やIPアドレスを間違えています。

dsaas-setup-010

画面の左下にこんなの出てきます(そこそこ時間かかります)

dsaas-setup-011

でもって、ランチでも行って帰ってくると

dsaas-setup-012

完璧や。

では壮大な戦いを始めよう

ここでポリシーが有効になっている場合、大抵のサービスはアクセス不能になっているはずです。ポリシー無しにした方は、特に影響はありません。では細かい設定を見て行きましょう。まずはコンピュータをダブルクリックすると、新規でウィンドウが立ち上がってきます。ホスト名はそのままにして(ドメイン名とかIPアドレスとかが入ってるはず)、表示名と説明を入れておきましょう。

dsaas-setup-013

とりあえず保存して完了。

推奨設定の検索をする

コンピュータを右クリックすると出てきます。これ便利なのでポチーします。

dsaas-setup-014

検索、っていってますが、適用まで勝手にやりますので、ポチーで完了です。

ではちょっと細かいところ見て行きましょう

またコンピュータをダブルクリックして、設定メニューを新しいウィンドウでだします。

不正プログラム対策

要するにアンチウィルスです。リアルタイムスキャンもできる優れもの。オンオフはお好きにどうぞ。

dsaas-setup-015

Webレピュテーション

クライアントサイドな感じの機能なので、基本的にはオフですが、どうしても使いたいという方はオンでどうぞ。

dsaas-setup-016

ファイアウォール

ここが作り込み、チューニングの最高の修羅場ポイントです。画像ではオフになっていますが、デフォルトポリシーをオンにすると、少なくともWordpressはアクセス不能になります。環境ごとにチューニングが全然違うので言及しませんが、考え方は一般的なファイアウォールと同等ですので、その辺触ったことある方なら割とポチポチいけると思います。

dsaas-setup-017

侵入防御

その名の通りです。防御モードと検出モードが選べます。基本的には検出モードで稼働させて、サービスへの影響がなければ防御モードに移行するのが安全です。画面の通り、「推奨設定の検索」が押せる場合は、押しちゃいましょう。

dsaas-setup-018

変更監視

改ざん検知的なあれです。ここも自分のアプリのディレクトリを指定したり、いくつか設定してあげないと、それっぽくなりません。

dsaas-setup-019

セキュリティログ監視

ログの改ざん検知に使えますね。一般的なLinuxのログのパスが記述されていますので、パスを変更していたり、独自のログを監視したい場合は、その設定を投入してやります。

dsaas-setup-020

そんなところですかね

アラートメールの送信先設定は、管理タブから設定出来ますが、管理タブも一通り眺めてみることをオススメします。

そんなこんなでお手軽セットアップでしたが

運用はマジで大変なので、覚悟を決めてガッツリやってください。全然無理って場合はcloudpackなり他社に投げちゃいましょう。ちなみにDeep SecurityではWAF機能は期待出来ないので、本格的なWAFが欲しい場合はBarracudaなどを合わせて使うと効果的です。こちらも運用やチューニングがアレがコレでソレなので、試すのは簡単なのですが、やばそうだったら投げましょうw

Webアプリケーションに対する攻撃を保護|AWS専業のcloudpack
https://cloudpack.jp/service/plan/barracuda-waf.html

元記事はこちら

DSaaSでお手軽サーバー防御、初期セットアップ方法

齊藤 愼仁

cloudpack 社内インフラ担当、情報セキュリティ責任者。HPCを経て現職に至る。無類の猫好きで、すだち君という名の猫を飼っている。