Trend Vision One Endpoint Security(Server & Workload Protection)をプロキシ経由で利用してみた
2025.02.13こんにちは、シマです。
皆さんはTrend Vision One Endpoint Security(Server & Workload Protection)(以降V1ES)を使っていますか?V1ESは、トレンドマイクロ社が提供するソリューションの1つで、Cloud One Workload Security (以降C1WS) の後継製品であり、クラウド上に存在するサーバ、インスタンスを保護するために必要な機能を提供するクラウド型総合サーバーセキュリティサービスです。
V1ESは通信要件上、V1ESを導入したEC2インスタンスからインターネットへの通信が必要です。そういった製品の場合、プロキシサーバ経由の環境では別途追加設定が必要なケースが多いですよね。今回はプロキシサーバ経由でインターネットと通信できるEC2インスタンスにV1ESを導入する方法について設定方法をご紹介します。
V1ESの通信要件について
V1ESでは、V1ESを導入したEC2インスタンスから、TrendMicro社が管理する管理サーバへインターネット経由で通信する必要があります。そのため、プライベートサブネットにあるEC2インスタンスはNAT Gatewayやプロキシサーバ、または今回ご紹介するService Gateway経由でのインターネット接続が必要です。通信要件の詳細については以下TrendMicro社のページをご確認ください。
プロキシサーバがある環境で必要な設定
プロキシサーバがある環境において必要な設定箇所について記載していきます。
※V1ESを利用するうえでプロキシの有無に関わらず必要な設定につきましては割愛します。
実行時プロキシ設定
Trend Vision Oneコンソールより、「Endpoint Security」→「Endpoint Inventory」をクリックし、右上の歯車から「グローバル設定」をクリックします。
「実行時プロキシ設定」から「ポリシーの追加」ボタンを押下します。
任意のポリシー名を入力し、エンドポイントグループの鉛筆をクリックします。
プロキシサーバの設定範囲を指定します。今回はVPC毎に指定することを想定して、対象VPCを指定し、「選択」ボタンを押下します。
プライマリカスタムプロキシ設定内の「プロキシアドレス」や「ポート」等のプロキシ設定をして、「保存」ボタンを押下します。
エージェントインストール時のプロキシ設定
V1ESのエージェントのインストールにはインストーラパッケージを利用する方法と、配信スクリプトを利用する方法がありますが、今回は配信スクリプトを利用する方式を利用する前提とします。
Trend Vision Oneコンソールより、「Endpoint Security」→「Endpoint Inventory」をクリックし、右上の「エージェントインストーラ」をクリックします。
「配信スクリプトを使用したインストール方法」から、保護タイプで「Server & Workload Protection」を選択し、OS等は環境に応じた内容で選択します。「デプロイメント用プロキシ」で「カスタムプロキシ」を選択します。
後は基本的にはスクリプトを利用した通常のフローと同様に実施します。
スクリプト実行前に、スクリプト内のプロキシに関する箇所を変更します。今回の環境では以下のように変更をしました。
# プロキシサーバのIPアドレスまたはFQDNとポート
PROXY_ADDR_PORT="10.0.14.183:3128"
# プロキシサーバが認証情報を必要とする場合
PROXY_USERNAME=""
PROXY_PASSWORD=""
確認
V1ESの管理画面で、問題なく管理対象になっており、各機能のインストールやタスクの実行に問題がないことを確認しました。
最後に
今回はプロキシサーバ経由でインターネットと通信できるEC2インスタンスにV1ESを導入する方法についてまとめていきました。
本記事がどなたかのお役に立てれば幸いです。
