Sophos Central Server ProtectionでAuto ScalingなEC2を保護する

sophos

西澤です。AWS環境のマルウェア対策ソリューションとしてSophos Centralから利用できるServer Proctectionでいろいろと試してます。今回ようやく当初の目的だったAuto Scaling環境の保護に挑戦してみようと思います。

これまでの振り返りは下記をご確認ください。

Auto Scaling環境のEC2を保護する

Auto Scaling環境のEC2インスタンスを、Sophos Centralで保護するには、下記の要件をクリアする必要があります。前提として、前の記事でご紹介したAWSアカウント連携が必須となります点にご注意ください。

  1. EC2起動時に、製品がインストールされ、Sophos Centralに自動登録され、保護が開始される
  2. EC2削除時に、保護対象から削除される

ユーザデータからSophos製品をインストールする

ということで、今回はユーザデータからSophos製品をインストールすることにします。手順はこちらに記載のとおりです。

Launch Configuration設定から、下記のようにbashスクリプトを登録しました。Sophos CentralごとにID等のその環境専用の情報がインストーラ内に埋め込まれて用意されているようですので、Sophos Central環境ごとにダウンロードURLが異なる点にご注意ください。savconfigで設定している箇所が必要な理由については、前に書いたAmazonLinuxの保護の記事をご確認ください。

sophos_autoscaling_001

#!/bin/bash
curl -o /tmp/SophosInstall.sh https://[Sophos Centralから取得したインストーラのURL]
sh /tmp/SophosInstall.sh
/opt/sophos-av/bin/savconfig set DisableFanotify false
/opt/sophos-av/bin/savconfig set PreferFanotify true
/etc/init.d/sav-protect restart

ちなみに、ゴールデンAMI(カスタマイズしたイメージ)を利用する場合には、下記手順をご覧ください。--deregisterオプションで固有のID情報等をリセットしてあげることがポイントです。

Auto Sacling環境のEC2インスタンスを起動してみる

前述のような設定を施したLaunch Configurationから、Auto ScalingなEC2を起動してみました。

sophos_autoscaling_002

無事にSophos Centralに登録されたようです。

sophos_autoscaling_003

任意のポリシーを適用したい

自動登録には成功したものの適用するポリシーを変更していないことに気付きました。デフォルトポリシー以外の設定を行いたいときには、手動設定が必要ということでは要件が満たせません。

sophos_autoscaling_004

ここで、前の記事でご紹介したAWSアカウント連携をしたことで、"サーバーグループ"という項目に、自動的にグループが登録されていることが確認できます。こちらは、AWS上に登録されたAutoScalingGroupを自動的に取り込んでくれるようです。

sophos_autoscaling_005

適用したい任意のポリシーを、サーバー単位ではなく、サーバーグループ単位で登録しておくことでこの問題をクリアできることがわかりました。

sophos_autoscaling_006

無事に適用されたことを確認できました。

sophos_autoscaling_007

Auto Sacling環境のEC2インスタンスを削除してみる

自動削除は前の記事でも試したのですが、念の為の動作確認です。Auto Scaling環境のEC2インスタンスを停止してみます。

sophos_autoscaling_008

Sophos Centralからも無事削除されることを確認できました。

sophos_autoscaling_009

まとめ

ようやく本来の目的だったAuto ScalingなEC2の保護までたどり着くことができました。検証してみると思っていた以上に簡単で、ほとんど迷うことなく設定することができました。マルウェア対策としては非常に有用なので積極的にお勧めしていきたいと思います。

どこかの誰かのお役に立てば嬉しいです。