Sophos CloudでEC2をマルウェアから保護する

はじめに

Sophos Cloudは統合セキュリティソリューションであり、Windows、Mac、モバイルなどの様々なデバイスを人をベースに管理し、同様にサーバーの管理も可能な製品です。管理コンソールはSophosがSaaSとして提供しており、管理サーバを構築する必要はありません。サーバーもユーザーが持つデバイスも一元管理できるというのはとても便利なソリューションですね。

と、いうことで、今回はSophos Cloudを使って、EC2上に構築したAmazon Linuxサーバーをマルウェア保護してみました。

やってみた

今回は無償評価版を使っています。Sophosの無償評価版ページから申し込みをすると、各製品の評価アカウントが払い出しされます。

Sophos Cloud管理コンソールへのログイン

評価アカウント用にメールで送られてきたWebサイトにアクセスすると、以下のようなログイン画面が表示されます。登録したメールアドレスとパスワードを入力し、[ログイン]ボタンをクリックします。

ログインすると、以下のように管理コンソールが表示されます。まだ何の管理もされていないので、対象が全部0です。この後EC2上のAmazon LinuxにEndpoint Antivirusをインストールするため、[ダウンロード]をクリックします。

ダウンロードページが開きます。今回はAmazon Linuxに導入するため、[Linux]のリンクをクリックします。クリックするとシェルスクリプトがダウンロードされます。

Amazon LinuxへのEndpoint Antivirus for Sophos Cloudのインストール

ダウンロードしたシェルスクリプトをAmazon Linuxにアップロードし、root権限で実行します。インストールと最新のウイルスパターンへのアップデートが行われます。

$ sudo sh ./SophosInstall.sh

インストールされた後の状態を確認してみます...が、chkconfigには登録されていません。

$ sudo chkconfig --list | grep sav
(何も表示されない)

そこで以下のコマンドを実行します。

$ sudo /opt/sophos-av/bin/savdctl enableOnBoot savd
Starting Sophos Anti-Virus daemon:                         [  OK  ]

再度chkconfigで確認します。はい、以下のように登録されました！

$ sudo chkconfig --list | grep sav
sav-protect    	0:off	1:off	2:on	3:on	4:on	5:on	6:off
sav-rms        	0:off	1:off	2:on	3:on	4:on	5:on	6:off

プロセスの確認。savd、savscand、sophosmgmtdが起動しています。

$ ps aux | grep sav
root 1985 0.0 0.5 515796 6084 ? Sl 12:10 0:00 savd etc/savd.cfg
root 2005 1.8 19.3 933048 197592 ? Sl 12:10 0:05 savscand --incident=unix://tmp/incident --namedscan=unix://root@tmp/namedscansprocessor.0 --ondemandcontrol=socketpair://38/39 socketpair://36/37 --threads=5
sophosav 2028 0.0 1.3 191408 13504 ? S 12:10 0:00 sophosmgmtd -c import sophosmgmtd.sophosmgmtd,sys;sys.exit(sophosmgmtd.sophosmgmtd.main(sys.argv)) --daemon --RMS=0
root 2299 1.5 19.5 726148 199452 ? Sl 12:10 0:04 savscand --incident=unix://tmp/incident socketpair://46/47 --threads=5

再度Sophos Cloudの管理画面で確認すると、以下のようにサーバーが登録されたことがわかります。

該当のサーバーをクリックすると、以下のように詳細情報が表示されます。イベントが一元で見れるのは良いですね。

ポリシーの作成と適用

現時点ではポリシーが初期の1つしか無いため、全てのサーバが同じポリシーで動作しますが、サーバーの種類や提供するサービスによって動作を変えたい場合があります。そこでポリシーを追加してみます。管理コンソールの[サーバー]-[ポリシー]をクリックします。

[サーバーポリシー]画面が表示されます。[追加]ボタンをクリックします。

サーバーポリシーの追加画面が表示されます。ポリシー名を指定します。[次へ]ボタンをクリックします。

ポリシーの適用先を選択します。今回追加したサーバーを選択し、[次へ]をクリックします。

検索オプションを設定します。Linuxサーバーの場合、Windowsサーバーより設定できる項目が少ないです。今回は検索スケジュールを変更してみました。[次へ]ボタンをクリックします。

サーバーロックダウンの設定を行います。なお、現時点でLinuxサーバーはロックダウン動作対象外です。

ポリシーの有効化についての設定です。[このポリシーを有効化する]のチェックが入っていることを確認し、[保存]をクリックします。

[サーバーポリシー]画面に戻ると、今回作成した[Linux]ポリシーが作成されていることがわかります。

サーバーの詳細画面を確認すると、[マルウェアポリシー]が[Linux]に変わったことがわかります！

さいごに

今回はサーバー保護の観点で設定を行ってみました。冒頭にも記述したとおり、管理サーバーを別途構築しなくて良い、というのはとてもクラウド的で良いなと思います。