share facebook facebook2 twitter menu hatena pocket slack

2014.09.15 MON

Auto ScaleしたインスタンスをDeep Securityで管理する

吉田 浩和

WRITTEN BY 吉田 浩和

こんにちは、cloudpackひろかずです。

Auto ScaleしたインスタンスをDeep Securityで管理する需要があるようなので、一筆書きます。

前提

参照情報

マニュアルの349-351頁, 354-356頁になります。

AWSのAutoScaleについては、インターネット上に色々書かれているので検索してみてください。

工程

  1. Deep Securityでの管理用IAMユーザーを作成(クラウドアカウントの作成)
  2. Deep Security Managerへのクラウドアカウントの登録
  3. AutoScaleしたインスタンスをDeep Security Managerで管理する

1.Deep Securityでの管理用IAMユーザーを作成(クラウドアカウントの作成)

AWSコンソールのIAM画面から、左側メニューのUsersを選択
注意! 管理したいEC2が配置されているRegionであることを確認してください。
Deep Security管理用 AWS IAM ユーザ作成 (1)

Create New Usersを選択
Deep Security管理用 AWS IAM ユーザ作成 (2)

今回は、IAMユーザ名を「DSM」に設定します。
アクセスキーが必要になるので、「Generate an access key for each user」のチェックが有効であることを確認します。
Deep Security管理用 AWS IAM ユーザ作成 (3)

作成できたら、Access KeyとSeacret Keyを控えます。
csvファイルをダウンロードして、保存しておくといいでしょう。(再発行できません)
Deep Security管理用 AWS IAM ユーザ作成 (4)

Usersの一覧画面に戻って「DSM」の文字の箇所をクリックします。
少々わかりにくいですがチェックボックスはハズレです。
Deep Security管理用 AWS IAM ユーザ作成 (5)

Permissionsセクションの「Attuch User Policy」を選択します。
Deep Security管理用 AWS IAM ユーザ作成 (6)

「Policy Generater」を選択して、「Select」ボタンをクリック
Deep Security管理用 AWS IAM ユーザ作成 (7)

AWS Serviceを「Amazon EC2」に設定します。
Actionsを以下3点をチェックします。

  • DescribeImages
  • DescribeInstances
  • DescribeTags

ARNには「*」を設定します。
以上を設定して「Add Statement」ボタンをクリック
Deep Security管理用 AWS IAM ユーザ作成 (8)

以下のように表示されます。
設定内容を確認して「Next Step」ボタンをクリックします。
Deep Security管理用 AWS IAM ユーザ作成 (9)

「Apply Policy」ボタンをクリックします。
Deep Security管理用 AWS IAM ユーザ作成 (10)20140913_IAM_Management_Console10.png

設定が完了すると、このように表示されます。
Deep Security管理用 AWS IAM ユーザ作成 (11)

2.Deep Security Managerへのクラウドアカウントの登録

Managerコンソールを開いて「コンピュータ」→「クラウドアカウントの追加」をクリック
Deep Security Manager へクラウドアカウントを登録 (1)

プロバイダの地域を作成したIAMユーザーが配置されているRegionに設定します。
名前欄の内容は、コンピュータグループ名になります。
アクセスキーIDと秘密アクセスキーに、作成したIAMユーザーのAccess KeyとSeacret Keyを登録します。
Deep Security Manager へクラウドアカウントを登録 (2)

概要情報が表示されます。
「完了」ボタンをクリックします。
Deep Security Manager へクラウドアカウントを登録 (3)

設定内容が正しければ、このように表示されます。
Deep Security Manager へクラウドアカウントを登録 (4)

コンピュータ画面を表示すると、当該Region上のEC2がコンピュータグループ「Amazon」配下に登録されています。
Deep Security Manager へクラウドアカウントを登録 (5)

3.AutoScaleしたインスタンスをDeep Security Managerで管理する

ここでざっと、AutoScaleしたインスタンスが、Manager登録されるまでの流れを記します。

  1. ManagerにAgentからの登録を許可する設定をしておきます。
  2. AutoScaleで作成されたインスタンスは、cloud-initにてManagerのポート4119からAgentをダウンロードし、自分自身にAgentをインストールします。
  3. AutoScaleで作成されたインスタンスは、cloud-initにてManagerのポート4120にアクセスして、自分自身を登録しに行きます。

それでは、作業をしていきましょう。
Managerは、Security Groupにて、Agentからの通信ポート4119, 4120を開けておく必要があります。

次に、ManagerにAgentからの登録を許可する設定を施します。
Managerの「管理」→「システム設定」→「Agent」を選択します。
「Agentからのリモート有効化を許可」にチェックを入れます。
Deep Security Manager でオートスケールしたインスタンスを管理する (1)

画面右上の「ヘルプ」から「インストールスクリプト」を選択します。
Deep Security Manager でオートスケールしたインスタンスを管理する (2)

インストール対象として「Agent(推奨)」を選択し、「追加ソフトウェアのインポート」のリンクを選択します。
Deep Security Manager でオートスケールしたインスタンスを管理する (3)

AutoScaleするインスタンスに導入するAgentのインストールモジュールを設定します。
モジュールが手元にない場合は、「トレンドマイクロのダウンロードセンター」リンクからDeep Security Agentのインストールモジュールをダウンロードして設定します。
今回は、Amazon Linuxのインストールモジュールを使用します。
Deep Security Manager でオートスケールしたインスタンスを管理する (4)

完了をクリックします。
Deep Security Manager でオートスケールしたインスタンスを管理する (5)

インストールモジュールのインポートが終わったら、「プラットフォーム」にAmazon Linuxが追加されているので、設定します。
「Agentを自動的に有効化」にチェックを入れるとインストールスクリプトが生成されますので、コピーしておきます。
Deep Security Manager でオートスケールしたインスタンスを管理する (6)

AutoScaleの設定を簡単に記します。
AWSコンソールのEC2画面から、「Launch Configrations」を選択し、「Create launch configuration」ボタンをクリックします。Deep Security Manager で管理する際のオートスケールの設定 (1)

Auto Scaleの元になるAMIを選択します。
当該AMIにはDeep Security Agentが導入されていないものを選択してください。
Deep Security Manager で管理する際のオートスケールの設定 (2)

必要に応じたインスタンスサイズを選択します。
Agentは、メモリを512MBを要求するので、適切なインスタンスタイプを選択します。
Trend Micro Deep Security 9.0 SP1 システム要件
Deep Security Manager で管理する際のオートスケールの設定 (3)

Launch Configration名を指定して、Advanced Detailsセクション内の「User Data」欄に先ほどコピーしたスクリプトを貼り付けます。
Deep Security Manager で管理する際のオートスケールの設定 (4)

あとは、適宜設定を進めます。
設定が完了したら、AutoScaleで作成されたインスタンスがDeep Security Managerに登録されます。
Deep Security Manager で管理する際のオートスケールの設定 (5)

スケールアウトしてみます。
Deep Security Manager で管理する際のオートスケールの設定 (6)

Managerに追加登録されますね。
Deep Security Manager で管理する際のオートスケールの設定 (7)

スケールインしてみます。
Deep Security Manager で管理する際のオートスケールの設定 (8)

Managerから削除されました。
Deep Security Manager で管理する際のオートスケールの設定 (9)

お疲れ様でした。
※侵入防御ルール等の自動登録については、後日補足します。

元記事はこちらです。
Auto ScaleしたインスタンスをDeep Securityで管理する

吉田 浩和

吉田 浩和

cloudpackの中の人。 securitypackと運用、保守を中心に、構築もやってます。 エンタープライズ系SIerを経て、クラウドの最前線で奮闘の日々を送ってます。