Sophos CentralをAWSアカウントと連携してみた

sophos

西澤です。AWS環境のマルウェア対策ソリューションとしてSophos Centralから利用できるServer Proctectionでいろいろと試してます。予定と順番が少し変わったのですが、今回はAWSアカウント連携機能をご紹介します。

Sophos Centralの説明や基本的な使い方については、下記記事からご覧いただければ理解がスムーズかと思います。

Sophos CentralのAWSアカウント連携機能とは?

Sophos Centralに保護対象のEC2インスタンスを追加(Sophos製品をインストール)した上で、一覧画面で確認してみたところ、こんな画面が現れることに気付きました。

sophos_central_aws_integration_001

詳しくは公式ページに記載されていますが、AWSアカウント連携をすることで、下記の機能が提供されるようになります。

  • 停止された EC2 インスタンスが Sophos Central から自動的に削除されるようにする (AWS Auto-Scaling を使用する場合など)
  • Sophos Central の AWS Auto Scaling グループにサーバーポリシーが適用される
  • Sophos Central で各サーバーに関して有用な EC2 インスタンスの情報を表示する (インスタンスの Lifecycle 状態、 AMI ID、リージョンなど)

特に、Auto-Scaling環境のEC2を保護対象としたい場合には、必須となることがわかりました。ということで、早速この機能を試してみようと思います。

Sophos CentralのAWSアカウント連携を試してみる

といっても、他のツールを利用する場合と同じように、情報取得可能なIAMユーザを作成して、アクセスキーを登録するだけなので、簡単です。

Sophos Central用のIAMユーザを作成する

Cloud Formationテンプレートも用意されているようですが、今回は手動で作成しました。必要なポリシーは下記の通りです。

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupsForUser",
                "iam:ListGroupsForPolicies",
                "iam:ListGroupPolicies",
                "iam:GetUser",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "ec2:DescribeInstances",
                "ec2:DescribeRegions",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

このIAMユーザ用にアクセスキー/シークレットアクセスキーを用意しておきましょう。

sophos_central_aws_integration_002

アクセスキーを登録する

それでは、取得したアクセスキーをSophos Centralから登録してみましょう。"システム設定 -> Amazon Web Service アカウント"から設定することが可能です。

sophos_central_aws_integration_003

sophos_central_aws_integration_004

sophos_central_aws_integration_005

適切に権限設定されたIAMユーザのアクセスキー/シークレットアクセスキーを登録すると、Sophos製品を登録していないEC2インスタンスの情報も取り込まれるようです。

sophos_central_aws_integration_006

下記赤囲みの部分が、AWSアカウント連携機能により表示追加された項目です。これで、管理対象のインスタンス情報がより詳細まで把握できるようになりました。

sophos_central_aws_integration_007

EC2インスタンスを削除してみる

それでは、EC2インスタンス削除に追従できるか確認しておきましょう。

sophos_central_aws_integration_008

数分待ったところ、自動で管理対象から削除されました。AWSアカウント連携設定のところで、"更新"を押せば少し早く反映されるようです。

sophos_central_aws_integration_009

まとめ

Sophos製品は安価で管理もしやすいので、なかなか使い勝手が良さそうです。前振りっぽい作業について、ようやくひと通り整理することができました。次こそAuto ScalingなEC2の管理を試してみる予定です。

どこかの誰かのお役に立てば嬉しいです。