本記事では、Trend Micro Deep Security(以下、Deep Security) を導入する手順について紹介します。Deep Securityの導入は概要編と導入編の2部構成にしています。導入編では、Deep SecurityをvSphere環境上に構築する流れを記します。概要編はこちらをご覧ください。
Deep Security Managerの導入
データベースサーバーの準備
初めに、データベースサーバーを用意します。データベースサーバーは、Deep Security Manager (以下、DSM)をインストールするために必要です。データベースの種類として、PostgreSQL、Microsoft SQL Server、Oracle Databaseが使用可能です。詳細バーションやサポート要件は Trend Micro のサイトをご確認ください。
データベースサーバーは Manager ノードから独立した専用のサーバーにインストールする必要があります。データベースサーバーが仮想マシンの場合は、DSM と同一の ESXi ホスト上で実行することが推奨されます。
サイジングについては、こちらからご参照ください。
Deep Security 10以降では、評価版データベースも利用可能です。
本構成では、Microsoft SQL Server 2014を使用しています。
SQL サーバーを構築し、DSM で使用するための空のデータベースインスタンスを作成します。今回はデータベース名を[DSMDB]として作成しています。
続いて、db_owner 権限を持つデータベースアカウントを作成し、DSMDB と紐づけを行います。このアカウントは、DSM によるデータベースへの接続に使用されます。
データベースインスタンスの TCP/IP プロトコルを有効にします。
Deep Security Manager サーバーの導入
DSM は、Windows または Linux マシンにインストールします。少なくとも1台の Deep Security Agent(以下、DSA) で Relay 機能を有効化し、Deep Security Relay(以下、DSR)として設定する必要があります。
構成として、DSM と DSR(Relay 有効化済み Agent)は同じコンピュータにインストールすることも複数台に展開することも可能です。
本構成では、DSM と DSR を同じコンピュータにインストールしています。
今回は、Red Hat Enterprise Linux 7(以下、RHEL7) の仮想マシン2台を構築し、DSM と DSR をインストールします。この2台はアクティブ/アクティブ構成とすることで冗長化します。
DSM と DSRは、コマンドによるサイレントインストールを使って行います。その際は、インストール時に参照するためのプロパティファイルを事前に作成しておく必要があります。
プロパティファイルの例を下記に記します。プロパティファイルにて、[RelayScreen.Install=True]と指定しますと、DSR が DSM のサーバーにインストールされます。
その他、詳細につきましてはこちらをご参照ください。
プロパティの一例です。(プロパティ:指定できる値)
- AddressAndPortsScreen.ManagerAddress:<Managerのホスト名、URL、 IP アドレス>
- DatabaseScreen.Hostname:<データベースのホスト名またはIPアドレス>
- DatabaseScreen.DatabaseName:<データベースインスタンス名>
- DatabaseScreen.Username:<データベースのユーザー名>
- DatabaseScreen.Password:<データベースの認証パスワード>
- CredentialsScreen.Administrator.Username:<DSM の管理者ユーザー名>
- CredentialsScreen.Administrator.Password:<DSM の管理者パスワード>
DSR をインストールする前に下記コマンドで事前システムチェックを行います。システムチェックの際にプロパティファイルが参照され、データベースへ接続されます。
結果は CSV ファイル形式で出力されます。メモリ容量が不足している場合などは警告が記載されます。
#bash Manager-Linux-11.0.XXX.x64.sh -q -console -t -varfile install.properties
チェックファイルの内容を確認し問題が無ければ下記コマンドでサイレントインストールを開始します。
#bash Manager-Linux-11.0.XXX.x64.sh -q -console -varfile install.properties
2台目の DSM のインストールもプロパティファイルの固有値のみ変更し、同様に実施します。
インストール完了後、ブラウザより下記 URL にアクセスします。
https : //<Deep Security ManagerサーバーのIPまたはFQDN>:4119
ユーザー名およびパスワードはプロパティファイルにて指定した値を入力しログインします。
ログイン完了後、DSM および DSR のステータスを確認します。
DSM は、[管理]>[Manager ノード]にて2台のホストのステータスがオンラインであることを確認します。
DSR は、[管理]>[アップデート]>[ソフトウェア]>[Relay の管理]にて2台のホストのステータスがオンラインであることを確認します。
DSM を導入する際の注意点として、データベースに Microsoft SQL Server を使用している場合は TLS バーションの考慮が必要です。
DSM 10.0以降の場合は TLS 1.2の使用が推奨されます。もしもバーション10.0未満の場合は TLS 1.2をサポートしないため、TLS 1.0,1.1を使用します。
DSM 11.0以降を新規インストールする場合は、データベースが TLS 1.2をサポートすることが必須のため、 Microsoft SQL Server を TLS 1.2をサポートするバーションに更新する必要があります。
Deep Security Manager の設定
ログインが完了し、ステータスがオンラインであることを確認できた後に下記の Deep Security による保護環境構築に必要な基本設定をします。
- ライセンス適用
ライセンス適用では、アクティベーションコードを追加します。下図は体験版の例です。
- ポリシー作成
ポリシー作成では、ルールや設定をまとめて保存し、複数のマシンに割り当てます。マシンに対して有効化する保護機能を決定します。
また、上位のポリシー設定を継承することができます。
- ソフトウェアのインポート
ソフトウェアのインポートでは、DSA および Deep Security Virtual Appliacne(以下、DSVA)による保護を実現するため、それぞれのパッケージを DSM 上のローカルソフトウェアにインポートします。
DSA の場合は、ダウンロードセンターから直接取得するか、コンピュータ上にダウンロードしたファイルをインポートします。最新バーションを自動的にインポートする設定もあります。
下図はダウンロードセンターから取得可能な DSA のソフトウェアが表示されています。
DSVA の場合は、ダウンロードセンターから取得不可のため、あらかじめコンピュータ上にダウンロードしておいたファイルをインポートします。
下図ではローカルソフトウェアに各種ソフトウェアがインポートされています。
- vCenter および NSX の登録
保護対象となるマシンを管理する vCenter を登録し、インベントリ情報を取得します。
NSX の登録は任意ですが、DSVA による保護を行う場合は必須です。vCenter を登録するには、vCenter の IP アドレスとポートの値、vCenter の名前、資格情報を入力します。
NSX Manager の登録では、NSX Manager の IP アドレスとポートの値、資格情報を入力します。
vCenter 登録後に vCenter 管理下のホストが確認できます。
- アップデートの設定
パターンファイルや最新のソフトウェアの取得方法に関する設定を行います。
- アラートの設定
各アラート発生時の通知設定や、アラート送信先(SNMP トラップ、電子メール)の設定を行います。
- 予約タスクの設定
vCenter との同期、不正プログラムの検索、セキュリティアップデートの実行などの DSM による様々なタスクを、指定した時間帯に実行する設定を行います。
- ルールの設定
ポリシーで使用する各セキュリティ機能のルールを決定します。
Deep Security Agent による保護
Deep Security Agent のインストール
DSA で保護するマシンにエージェントソフトウェアをインストールします。
Windows の場合は、DSA パッケージをマシン上の適当なフォルダに配置し、解凍後にインストーラを実行します。
Linux(RHEL7)の場合は、WinSCP などでDSA パッケージを適当なディレクトリに配置し、解凍後に下記コマンドを実行します。
#sudo rpm -i Agent-PGPCore-RedHat_EL7-11.0.0-XXXX.x86_64.rpm
保護の有効化
Deep Security にて、DSA インストール済みのマシンを選択し有効化します。有効化することで、保護管理対象となります。
次に、有効化したマシンに対しポリシーを割り当てます。ポリシーが当たることにより保護機能が有効化されます。
不正プログラム対策/侵入防御の機能を有効化するポリシーを割り当てた場合、マシンのプロパティでは下図のように表示されます。
Deep Security Virtual Appliance による保護
NSX-Vの設定
DSVAによる保護を実現するために、NSX-Vの設定を行います。
- セキュリティグループの作成
セキュリティグループの作成では、DSVAで保護するマシンを定義し、グループ化します。
下図では、[WinTESTDSVA]という文字列を名前に含む仮想マシンを対象に含めています。
- セキュリティポリシーの作成
セキュリテイポリシーの作成では、使用するサービスを決定し、セキュリティグループに割り当てます。こちらの設定は Deep Security との連携前は設定不可のため、連携後に設定を行います。
不正プログラム対策および変更監視の機能を使用する場合は、Guest Introspection(以下、GI)サービスを設定します。
ファイアウォールや侵入防御などネットワーク系機能を使用する場合は Net Introspection サービスを設定します。
本構成では、NSX評価版ライセンスを適用しているため、GI サービスのみ設定します。
下図では、セキュリテイポリシーの編集にて、GI の編集をしています。
- セキュリテイグループにポリシーを適用
セキュリティグループにポリシーおよび GI サービスを適用すると、グループ内のマシンを保護する準備が整います。
適用後はセキュリティグループのプロパティにて適用済みのポリシーやGI、割り当てたマシンを確認できます。
- Guest Introspection と Deep Security Virtual Appliance 用の IP アドレスプール設定
GI、DSVA は保護対象マシンを管理するクラスタ上に展開します。共にクラスタ内のホスト台数分必要です。
下図では、ホスト2台で構成されるクラスタに展開するため、IP プールの範囲も2台分ずつ準備しています。
Guest Introspection と Deep Security Virtual Appliance のデプロイ
展開する順番として、GI、DSVA の順に展開します。
下図では、GIを展開しています。
ストレージおよび管理ネットワークの選択にて、データストアとネットワークを指定します。
ローカルデータストアおよび標準仮想スイッチを使用する場合、下図のようにホスト側の設定で展開先を指定する必要があります。共有データストアおよび分散仮想スイッチの場合は、ホスト側の指定は不要です。
同様の手順で DSVA も展開します。
展開後に、vSphere Client の[ネットワークとセキュリティ]>[インストールとアップグレード]>[サービスの展開]にて、GI と Deep Security のステータスが正常であることを確認します。
もしも、失敗となっている場合は、インストールステータスに表示される[解決]をクリックし、再展開を行います。
保護の有効化
DSVA は VMware Tools と連携するため、保護対象のマシンには VMware Tools のインストールが必要です。また、Windows マシンの場合、VMware Tools の NSX 自己検証ドライバをインストールしておく必要があります。
有効化の方法は DSA と同様です。DSVA 展開済みのホスト上のマシンを選択し、有効化します。有効化すると、保護管理対象となります。有効化したマシンに対しポリシーを割り当てることで、保護機能が有効化されます。
下図では、DSVA の保護対象となっていることが確認できます。
DSVA にて不正プログラム対策機能を使用し、DSA で侵入防御機能を使用しているコンバインモードの状態は下図のようになります。
以上の流れで、Deep Security への基本設定とコンポーネントを保護する準備が完了します。ご覧いただきありがとうございます。アップグレード編へ続きます。