2020 年 9 月 18 日 第 1 版 トレンドマイクロ株式会社
Trend Micro Cloud One - Workload Security
クイックスタートガイド for Amazon Web Services
2
本ドキュメントに関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。トレンドマイクロ株式会社が 事前に承諾している場合を除き、形態および手段を問わず本ドキュメントまたはその一部を複製することは禁じ られています。本ドキュメントの作成にあたっては細心の注意を払っていますが、本ドキュメントの記述に誤りや 欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本ドキュメントおよびその記 述内容は予告なしに変更される事があります。
TRENDMICRO 、 ウ イ ル スバ ス タ ー 、 ウ イ ル ス バ ス タ ー On-Line-Scan 、 PC-cillin 、 InterScan 、 INTERSCAN VIRUSWALL、ISVW、InterScanWebManager、ISWM、InterScan Message Security Suite、InterScan Web Security Suite、IWSS、TRENDMICRO SERVERPROTECT、PortalProtect、Trend Micro Control Manager、Trend Micro MobileSecurity、VSAPI、トレンドマイクロ・プレミアム・サポート・プログラム、License for Enterprise Information Security、LEISec、Trend Park 、Trend Labs、InterScan Gateway Security Appliance、Trend Micro Network VirusWall、Network VirusWall Enforcer、Trend Flex Security、LEAKPROOF、Trend プロテクト、Expert on Guard、
InterScan Messaging Security Appliance 、InterScan Web Security Appliance 、InterScan Messaging Hosted Security、DataDNA、Trend Micro Threat Management Solution、Trend Micro Threat Management Services、
Trend Micro Threat Management Agent、Trend Micro Threat Mitigator、Trend Micro Threat Discovery Appliance、
Trend Micro USB Security、InterScan Web Security Virtual Appliance、InterScan Messaging Security Virtual Appliance、Trend Micro Reliable Security License 、TRSL、Trend Micro Smart Protection Network 、Smart Protection Network、SPN、SMARTSCAN、Trend Micro Kids Safety、Trend Micro Web Security、Trend Micro IM Security、Trend Micro Email Encryption、Trend Micro Email Encryption Client、Trend Micro Email Encryption Gateway、Trend Micro Collaboration Security、Trend Micro Portable Security、Portable Security、Trend Micro Standard Web Security、トレンドマイクロ アグレッシブスキャナー、Trend Micro Hosted Email Security、Hosted Email Security、Trend Micro Deep Security、ウイルスバスタークラウド、ウイルスバスターCLOUD、Smart Surfing、
スマートスキャン、Trend Micro Instant Security、Trend Micro Enterprise Security for Gateways、Enterprise Security for Gateways 、 Trend Micro Email Security Platform 、 Trend Smart Protection 、 Vulnerability Management Services、Trend Micro Vulnerability Management Services、Trend Micro PCI Scanning Service、
Trend Micro Titanium、Trend Micro Titanium AntiVirus Plus、Smart Protection Server、Deep Security、Worry Free Remote Manager、ウイルスバスター ビジネスセキュリティサービス、HOUSECALL、SafeSync、トレンドマイ クロ オンラインストレージ SafeSync、Trend Micro InterScan WebManager SCC、Trend Micro NAS Security、
Trend Micro Data Loss Prevention、TREND MICRO ENDPOINT ENCRYPTION、Securing Your Journey to the Cloud、Trend Micro オンラインスキャン、Trend Micro Deep Security Anti Virus for VDI、Trend Micro Deep Security PCI DSS、Trend Micro Deep Security Virtual Patch、Trend Micro Threat Discovery Software Appliance、
SECURE CLOUD、Trend Micro VDI オプション、おまかせ不正請求クリーンナップサービス、Trend Micro Deep Security あんしんパック、こどもーど、Deep Discovery、および TCSE は、トレンドマイクロ株式会社の登録商標 です。
本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。
目次
用語について ... 4
本ドキュメントについて ... 4
このドキュメントの使い方 ... 4
サポートサービスについて ... 5
1. 基本導入編 ... 6
1.1 WS と AWS アカウントの連携... 6
1.2 インストールスクリプトによる DSA の自動有効化 ... 7
2. AWS との機能連携 ... 12
2.1 オートスケール ... 12
2.2 Amazon SNS 連携 ... 21
2.3 スマートフォルダについて ... 31
3. QA 集 ... 34
更新履歴 ... 36
4
はじめに 用語について
本ドキュメントでは、下記の略称を使用します。
・「Trend Micro Cloud One – Workload Security」→「WS」
※2020 年 6 月 1 日以降、「Deep Security as a Service」は上記製品名に変更されております。
・「Deep Security Agent」→「DSA」
・「Amazon Web Services」→「AWS」
本ドキュメントについて
本ドキュメントは、WS を AWS 環境へ導入する際の注意事項、トレンドマイクロが推奨する手順、および、関連情 報を取りまとめたものです。
本ガイドでは WS を使用し、AWS 環境下でお使いいただく際に必要な環境・および基本的な設定手順につい てご説明いたします。
※環境構築時には WS の最新バージョンをご使用いただくことを推奨しております。
このドキュメントの使い方
このドキュメントは、AWS 環境での WS の導入を支援することを目的としています。また、インストールガイドや 管理者ガイドとして使用するものではありません。それらについては他のドキュメントを参照してください。読者 は AWS 環境での仮想マシンの導入および管理方法について理解しているものとし、環境がすでにセットアップ および設定されていることを前提としています。
サポートサービスについて
本ドキュメントガイドの記述内容に関するご質問につきましては、製品サポート窓口へご確認ください。また、本 ガイドの内容については、アマゾンウェブサービスジャパン株式会社へ問い合わせをすることは出来ません。
※WS の各機能を有効化するための Activation Code については、担当営業へご確認ください。
6
1. 基本導入編
WS のインストールガイドをお読み頂き、P17の「Activation Code の入力」まで行ってください。
https://files.trendmicro.com/jp/ucmodule/C1WS/C1WS_InstallGuide_20200813.pdf 参考:WS のステップサイト https://success.trendmicro.com/jp/welcome/cloud-one
1.1 WS と AWS アカウントの連携
AWS アカウントを WS に追加するには下記2つの方法があり、いずれかの方法を用いて AWS アカウントとの連 携を行います。
クイックセットアップを使用した AWS アカウントの追加
クロスアカウントロールを使用した AWS アカウントの追加
AWS アカウントを追加する手順については下記を参照ください。
AWS アカウントの追加について:https://cloudone.trendmicro.com/docs/jp/workload-security/aws-add/
AWS アカウントとの同期処理が正常に完了すると、WS コンソールに下記 AWS アカウント情報や対象アカウント 配下の EC2 インスタンスが表示されます。
1.2 インストールスクリプトによる DSA の自動有効化
WS 環境ではインストールスクリプトを使用することにより、簡単に DSA を保護対象のコンピュータに展開するこ とが可能です。ここでは、Windows プラットフォーム(Windows 2012 R2 Server)でインストールスクリプトを実行し、
DSA の展開を自動化する方法について説明します。
前提条件
・DSA を展開する保護対象のコンピュータは PowerShell ver2.0 が利用できる必要があります。(Windows 2012 R2 Server では標準で利用可能)
・DSA のエージェントプログラムは WS よりダウンロードされ、標準では TCP443 番ポートが使用されるため、保 護対象マシンから WS に TCP443 番でアクセスできる必要があります。また、クライアントから WS のコンピュータ 名の名前解決が可能である必要があります。
・保護対象のコンピュータからの自動有効化を行う場合、エージェントは TCP443 番で WS に接続できる必要が あります。
事前準備. Agent からのリモート有効化を許可
管理コンソールに ログインした後、[管理]>[システム設定]>[Agent]>[Agent からのリモート有効化]に移動し、
「Agent からのリモート有効化を許可」のチェックボックスをオンにした後、設定を保存します。
※(オプション)必要に応じて、有効化を許可する Agent を接続元 IP アドレスなどにより制限することが可能です。
8
インストールスクリプトによる DSA の自動有効化
1. WS 管理コンソールの[サポート情報]をクリックし、[インストールスクリプト]を選択します。
2. インストールスクリプト画面が表示されます。展開する対象のプラットフォーム([Linux Agent 環境]または [Windows Agent 環境])を選択します。(本手順では[Windows Agent 環境]を選択します。)
3. DSA を展開後、有効化まで行いたい場合は、[インストール後に Agent を自動的に有効化(セキュリティポリシ ーを割り当てる場合は必ず有効化してください)]のチェックボックスをオンにします。合わせて、[セキュリティポリ シー]、[コンピュータグループ]、[Relay グループ]等の追加設定が表示されるので、設定したい内容に合わせて 選択を行います。
4. AWS マネジメントコンソールから EC2 のインスタンス作成ウイザードを開始します。
5. 利用するプラットフォームを選択します。ここでは Windows 2012 R2 Base を選択します。
10
6. インスタンスタイプを選択し、[次の手順:インスタンスの詳細の設定]を選択します。
7. 起動するインスタンス数、ネットワーク等のインスタンス設定を適切に選択します。
8. User Data 欄に、Deep Security Manager で生成させたスクリプトをコピーします。
※Windows の場合、生成させたスクリプトを<powershell>(生成させたスクリプト)</powershell> のように、
powershell タグを追加した状態にします。
9. 残りのウイザードを通常通り設定し、ウイザードを完了させ、EC2 インスタンスを作成します。
10. EC2 インスタンス起動後、エージェントプログラムが自動的に WS からダウンロード、インストールされます。
有効化まで設定している場合は、自動的に DSA が有効化、保護されます。
(DSA エージェントプログラムのダウンロード、インストール、および有効化が終了するまでに数分~10 分程度時 間が必要となります。)
12
2. AWS との機能連携 2.1 オートスケール
AWS のオートスケール機能を利用した場合においても、WS でインスタンスの保護する事で下記のメリットとデメ リットがございます。
[メリット]
・スケールアウト/スケールインしたインスタンスを自動で保護/保護解除する事が可能
・Agent インストール済み AMI(※Baked AMI)を利用すると、Agent で保護出来ない期間を短縮する事が可能
(Agent をダウンロードしてインストールする工程がなくなるため)
※Baked AMI に関しては下記【Baked AMI とは?】を参照ください。
https://www.trendmicro.com/ja_jp/business/campaigns/aws/resources/deep-security-10-02.html
[デメリット]
・インストール済み Agent を使用する場合は、AMI に組み込まれているバージョンが使用される
この章では AWS のオートスケール機能によりスケールアウトされたインスタンスを自動的に WS で保護できる手 順を紹介します。
DSA をオートスケールにより有効化する方法は 2 つの方法があります。
・2.1.1 インストールスクリプトを利用して DSA を有効化する手順
※スケールアウトしたインスタンスにインストールスクリプトを利用して DSA を有効化する手順
・2.1.2 DSA をインストール済みの AMI を利用してオートスケールを行う手順
※予め DSA をインストールした AMI を作成し、その AMI をベースにオートスケールを行う手順
2.1.1 インストールスクリプトを利用して DSA を有効化する手順 前提条件
Agent からのリモート有効化の許可が必要です。
・インストールスクリプトの作成および、AWS の設定 1. インストールスクリプトを作成します。
2. インスタンスのプラットフォームを選択し、割り当てるポリシーや Relay グループを選択します。
14
3. 生成されたインストールスクリプトをテキストにコピーします。
4. 手順 3 でコピーしたインストールスクリプトを AWS のオートスケールの起動設定の作成時に「高度な詳細」の ユーザーデータに貼り付けます。
・オートスケール時の動作 新規インスタンスの作成時
1. オートスケールグループを作成し、インスタンスを起動します。
2. 作成したインスタンスが DSM に管理対象として追加されます。
スケールアウト時の動作
1. スケールアウトによりインスタンスを追加します。
16
2. スケールアウトにより追加されたインスタンスが自動的に WS に管理対象として追加されます。
スケールイン時の動作
1. スケールインにより WS の管理対象のインスタンスを削除します。
2. スケールインしたインスタンスは削除された後、AWS と WS の同期のタイミングで WS の管理対象から自動的に削除されます。
・2.1.2 DSA をインストール済みの AMI を利用してオートスケールを行う手順 前提条件
・Agent からのリモート有効化の許可が必要です。
・クローン Agent の再有効化の許可が必要です。
・不明な Agent の再有効化の許可が必要です。
・WS と AWS アカウントの連携が必要です。
・オートスケール時にポリシーを割り当てたい場合は、イベントベースタスク(Agent からのリモート有効化)にてポ リシーの割り当てが必要です。
※イベントベースタスクの作成手順につきましては、下記ヘルプセンターを参照願います。
▼イベントベースタスクの作成
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/Events-Alerts/ui-admin- eventbasedtasks.html
※スケールアウト時のコンピュータ名は「同じ名前のコンピュータがすでに存在する場合」にて設定をお願いし ます。
・DSA がインストールされている AMI の作成 1. WS に DSA を登録し有効化します。
18
2. WS に有効化された DSA をベースに AMI の作成を行います。
3. ここでは 「 TREND_DSA 」 という AMI を作成します。
・オートスケール時の動作 新規インスタンスの作成時
1. AUTO SCALING の起動設定から作成した DSA インストール済み AMI を選択し、起動設定の作成をします。
2. 作成した起動設定をベースに Auto Scaling グループを作成します。
3. インスタンスが起動したら自動で WS に管理対象として追加されます。
スケールアウト時の動作
1. スケールアウトによりインスタンスを追加します。
20
2. スケールアウトにより追加されたインスタンスが WS に管理対象として追加されます。
※ポリシーを自動適用したい場合はイベントベースタスクをご利用ください
・イベントベースタスクの作成
※下記は Deep Security 12.0 ベースの説明となりますが、WS でも利用可能となりますのでご参照ください。
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/Events-Alerts/ui-admin-eventbasedtasks.html
スケールイン時の動作
5. スケールインにより WS の管理対象のインスタンスを削除します。
6. スケールインしたインスタンスは完全削除され AWS と WS の同期のタイミングで WS の管理対象から削除されます。
詳細はヘルプセンターの「Deep Security Agent の AMI への統合」にも記載がございますのでご活用下さい。
※下記は Deep Security 12.0 ベースの説明となりますが、WS でも利用可能となりますのでご参照ください。
https://help.deepsecurity.trendmicro.com/12_0/on-premise/Reference/bake-deep-security-agent-ami.html?Highlight=Baked
2.2 Amazon SNS 連携
1. AWS マネジメントコンソールより IAM Management Console を開いた後、[ポリシーの作成]を選択します。
2. [ポリシーの作成]画面にて[JSON]タブを選択し、以下の通り SNS の Publish 権限の設定を行い、[Review policy]を選択します。
SNS の Publish 権限を設定するための JSON スクリプトのサンプルは以下の通りです。
--- {
"Version": "2012-10-17", "Statement": [
{
"Action": [ "sns:Publish"
],
"Effect": "Allow",
22
3. ポリシーの名前を入力した後、[ポリシーの作成]を選択します。
4. ポリシー作成完了画面が表示されます。
5. 上記ポリシーを付与するための IAM ユーザを作成します。IAM Management Console より [ユーザ]に移動し、[ユーザを追加]を選択します。
6. [ユーザ名]を入力し、[アクセスの種類]に[プログラムによるアクセス]を選択し [次のステップ:アクセス権限]を選択します。
7. [既存のポリシーを直接アタッチ]を選択した後、手順 4 で作成したポリシーを指定し [次のステップ:タグ]を選択します。
24
8. 必要に応じてタグを追加します。[次のステップ:確認]を選択します。
9. [ユーザの作成]を選択します。
10. [.csv のダウンロード]を選択し、認証情報(ファイル名:credentials.csv)をダウンロードします。
この後の手順の SNS を有効化する時に必要になるユーザの アクセスキーと秘密鍵が記載されています。
11. SNS ダッシュボードに移動し、[トピック]を選択します。その後、[トピックの作成]を選択します。
本手順では通知手段として E メールアドレスを使用した通知設定を行います。
12. [新しいトピックの作成]画面が表示されますので、[名前]を入力し、[トピックの作成]を選択します。
12. 新規トピックが作成されました。
26
13. トピックの詳細画面が表示されていますので [サブスクリプションの作成]を選択します。
14. [サブスクリプションの作成]画面が表示されます。[プロトコル]に[Email]を選択した後、[エンドポイント]に Email アドレスを入力し、[サブスクリプションの作成]を選択します。
15. サブスクリプションが作成されました。[トピック ARN]に記載されている文字列をコピーします。(後述の手順 にて WS 側に入力する必要があります。)
※コロン以下(赤文字)の文字列は必要ありません
例)arn:aws:sns:ap-northeast-1:***********:DeepSecuritySNS:*********-**** -****-****-************
16. サブスクリプションに設定した Email アドレス宛に確認メールが届きますので、[Confirm subscription]を選択 します。
17. Web ブラウザが開き、サブスクリプションの確認完了画面が表示されます。
28
18. WS 管理コンソールにログインした後、[管理]>[システム設定]>[イベントの転送]を選択し、[AWS Simple Notification Service にイベントを公開]のチェックボックスをオンにします。
19. 手順 9 で生成した認証情報(ファイル名:credentials.csv)と、手順 15 で入手したトピック ARN の情報を入力 し、[保存]を選択します。
・ アクセスキー:認証情報(ファイル名:credentials.csv)に記載されている Access key ID
・ 秘密鍵:認証情報(ファイル名:credentials.csv)に記載されている Secret access key
・ SNS トピック ARN:手順 15 にて控えた文字列。AWS コンソール「トピックの詳細」からも確認可能
20. [資格情報のテストと通知の送信]を選択します。
21. [Amazon SNS の資格情報が確認されました。次のイベントタイプでテスト通知が送信されました:「TestSNS」]
と表示され、SNS の送信に成功した事が確認できます。
22. 設定した Email アドレス宛に以下の通り「TestSNS」の通知が届きます。以上で Amazon SNS の設定は完了 です。設定後は各イベントの通知を Amazon SNS 経由で実施する事ができます。
30
イベント及びポリシーを指定してメールを送信する JSON スクリプトのサンプルは以下の通りです。
--- {
"Version": "2014-09-24", "Statement": [
{
"Topic": "arn:aws:sns:ap-northeast-1:***********:DeepSecuritySNS", "Condition": {
"StringEquals" : {
"EventType" : "AntiMalwareEvent",
"HostSecurityPolicyName" : "TREND_DSA_Policy"
} } } ] }
---
例えば、保護しているサーバ毎(Policy 毎)で担当者が違う場合、イベントの通知先を担当者毎に変更したりする ことも可能となります。複数のステートメントやコンディションの組み合わせを利用する事が可能です。
詳細情報及びサンプルは下記を参照ください。
https://help.deepsecurity.trendmicro.com/event-sns-json-config.html?Highlight=SNS
2.3 スマートフォルダについて 2.3.1 スマートフォルダの目的
WS の管理コンソールに表示されるサーバ群を動的にグルーピング、管理する事が可能となりました。
グルーピングの属性には AWS で設定できるタグ(EC2 タグ等)も利用出来ますので、タグをベースとした動的な グルーピングも可能となります。
管理対象のサーバ台数が多い場合、管理対象が複数クラウド、オンプレミス等多岐にわたる場合などにおいて も、サーバ運用管理の効率化が図れるようになっております。
2.4.2 スマートフォルダの設定方法
1. WS 管理コンソール - [コンピュータ] に移動
32
2. [スマートフォルダ]を選択し、[スマートフォルダの作成]ボタンをクリックします
3. [フォルダの表示名]に作成するフォルダの名前入力します
4. 検索条件にフォルダへ振り分けを実施したいコンピュータの条件を入力します 今回は「AWS タグ」とそれに付随する条件を指定します
1 番目のリスト : 一致するすべてのコンピュータに設定されているプロパティ ([OS] など) を選択 2 番目のリスト : 完全一致、類似、または一致しないコンピュータを選択する演算子を選択 3 番目のリスト : 検索語句のすべてまたは一部を入力
5. [保存ボタン]をクリックし、フォルダが作成されていることを確認します
6. 作成されたフォルダを選択し、想定するコンピュータがすべて含まれていることを確認します
詳細についてはオンラインヘルプの内容をご確認ください
※下記は Deep Security 12.0 ベースの説明となりますが、WS でも利用可能となりますのでご参照ください。
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/Manage-Components/dynamically- grouping-computers-with-smart-folders.html
34
3. QA 集
■製品 Q&A
▼ AWS クラウドコネクタ利用時に AWS Account として有効化できない問題について http://esupport.trendmicro.com/solution/ja-JP/1118597.aspx
▼ Amazon EC2 上の Linux に Deep Security Agent をインストールする際の注意点 http://esupport.trendmicro.com/solution/ja-JP/1312848.aspx
▼ [WS]「認識できないクライアントによる接続」イベントについて http://esupport.trendmicro.com/solution/ja-JP/1113395.aspx
■Deep Security ヘルプセンター
▼ Deep Security Agent の AMI への統合
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/Reference/bake-deep-security-agent- ami.html
▼ AWS EC2 インスタンスタグに基づくポリシーの自動割り当て
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/Reference/assign-policies-using-AWS- tags.html
▼ AWS アカウントを WS に追加する際の問題
https://help.deepsecurity.trendmicro.com/ja-jp/aws-account-adding-to-deep-security-issues.html
▼ AWS での Smart Protection Server の配置
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/smart-protection-in-aws.html
▼ AWS クラウドアカウントの追加
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/Add-Computers/add-aws.html
■よくあるご質問
▼ 他のリージョンや他社クラウド、オンプレミスのマシンを WS で保護できますか?
⇒可能です。ただし、WS と通信が確立されている事が前提となります。
▼ 複数の AWS アカウントの EC2 を一元管理できますか?
⇒可能です。WS に複数の AWS アカウントを追加することで管理が可能となります。
▼ AWS Marketplace で買うのと BYOL で買う場合の違いはありますか?
⇒ライセンスが含まれているものが BYOL となります。
BYOL で購入された場合、日本でのサポートは可能となります。
BYOL 以外で購入された場合、販売元はトレンドマイクロの米国(US)となり、お問い合わせは 日本のサポートセンターで受ける事が出来ません。
その場合、英語でのお問い合わせになる事をご了承ください。
(問い合わせ先:aws.marketplace@trendmicro.com)
詳細は下記リンクを参照ください。
https://success.trendmicro.com/jp/solution/1122683
▼ 中国リージョンのサーバ保護で利用しても問題はありませんか?
⇒一部制限はございますが、サポートの対象となります。
詳細は下記リンクをご確認ください
https://community-trendmicro.force.com/jp/solution/1121889
▼ Amazon Linux 及び Amazon Linux 2 は DSA のサポート対象となりますか?
DSA はサポート対象となります。
詳細は下記リンクをご確認ください。
https://help.deepsecurity.trendmicro.com/12_0/on-premise/supported-features-by- platform.html#Amazon_
Amazon EC2上のLinuxにDeep Security Agentをインストールする際の注意点 http://esupport.trendmicro.com/solution/ja-JP/1312848.aspx
36
更新履歴
日付 ページ 更新内容
2020/09/18 初版
