Cloud One Network Securityを利用してトラフィック検査ができるようにしてみた(導入編)

こんにちは、コンサル部＠大阪オフィスのTodaです。

Cloud Oneのサービス内にあるNetwork Securityを試す機会があり、いろいろ検証をしています。
今回は、Hosted infrastructureを利用してAWSクラウドへのトラフィックを検査が出来る状態にしてみます。

Cloud One Network Security (C1NS) とは？

Cloud One Network Securityはクラウド環境にある仮想マシンやアプリケーションなどをネットワークで保護するセキュリティサービスになります。
ネットワーク経路上で通信を監視し、仮想マシンやアプリケーションの脆弱性などを悪用する攻撃を検知して通知と遮断をおこないます。
別サービスのWorkload Securityの侵入防御機能をネットワーク上で展開するようなイメージになります。

■ Trend Micro Cloud OneNetwork Security
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-network-security.html

Hosted infrastructureとは？

Cloud One Network Securityは以前はAWS環境内にトラフィックを検査するためのアプライアンス用のインスタンスを構築する必要がありました。
Hosted infrastructureはこのアプライアンスをトレンドマイクロ社が管理運用しているVPC上で展開をおこない、利用する側は検査用のサブネットとGateway Load Balancerのエンドポイントを設定するのみでC1NSの利用ができるようになります。
アプライアンス用のインスタンスを管理しないで良いのがメリットになります。

■ Hosted infrastructure deployment capabilities - Cloud One Network Security
https://cloudone.trendmicro.com/docs/network-security/NSMS_intro/

今回はHosted infrastructureを利用して、検証環境にくるトラフィックを検査出来る状態にします。

検証環境の状態

今回は簡易に、パブリックサブネットにインスタンスを配置して、インターネットと通信するようにしています。
インスタンスとインターネットとの間にGateway Load Balancerのエンドポイントを配置してNetwork Securityにてトラフィックを検査するようにいたします。
また、CloudOneのアカウントは所有している状態から設定をおこないます。

Cloud One Network Securityに移動

CloudOneのダッシュボードにログインをおこない、[ Network Security]をクリックします。

AWSアカウントの登録

初回設定画面にてAWSアカウントとの連携をおこなう画面が表示されます。
画面内の[Add Cloud Account]をクリックします。

IAMロールを作成するため、画面内の[Launch Stack]をクリックします。
画面遷移にてAWSマネージメントコンソールに移動いたしますので表示されるCloudFormationを作成します。

作成が完了すると出力情報にIAMロールのARNが表示されますのでコピーをおこない、CloudOneのARN入力欄に貼り付けをおこないます。
貼り付け後は画面下の[Add Cloud Account]をクリックします。

設定が完了しますとデプロイ方法についての選択が表示されますが、この画面では[Exit Wizard]にて設定を終了します。

Hosted infrastructureの登録

Hosted infrastructureにて検査に利用するサブネットと、Gateway Load Balancerのエンドポイントを作成いたします。
左メニューから[Network] > [Hosted infrastructure]を選択します。

連携したAWSアカウントに存在するVPCが一覧で表示されますので、設定をしたいVPC横の[Deploy Protection]をクリックします。

エンドポイントを配置するサブネットのCIDRまたはSubnetのIDを指定します。
CIDRを指定すると新規でサブネットが生成されます。
SubnetのIDを指定する場合は、既存のサブネットにエンドポイントが配置されます。
今回は空いているCIDRでサブネットを作成しています。

[Create Endpoint]をクリックする事で新規作成がおこなわれます。
作成は10分前後の時間がかかります。
作成が完了するとGateway Load Balancerのエンドポイントが作成されますのでご確認ください。

エンドポイント用ルートテーブルの設定

現状、パブリックサブネットのルートテーブルはインターネットゲートウェイと直接通信するようになっていますので エンドポイントを経由するように変更をおこないます。
ルートテーブルを2点作成します。

・ルートテーブル1
インターネットゲートウェイからの通信をエンドポイントを経由するようにルートテーブルを作成します。
VPC Ingress Routingにて設定をおこなうためルートとEdgeの関連付けをおこないます。

・ルートテーブル2
エンドポイントを経由してインターネットゲートウェイに接続する設定を作成します。
ルートとしてインターネットゲートウェイ、サブネットの関連付けは先ほどエンドポイントを作成したサブネットを指定します。

既存ルートテーブルを変更

パブリックサブネットに設定されているルート設定を変更して、エンドポイント経由で通信がおこなわれるように設定します。
0.0.0.0/0にインターネットゲートウェイが設定されいるのを解除してGateway Load Balancerのエンドポイントを選択して設定を保存します。

上記で設定作業は完了になります。

通信が経由しているかの確認

先ほど設定したHosted infrastructureの画面から設定したエンドポイントを選択して詳細画面を表示します。
詳細画面に表示されるTraffic Inspectedにて通信が来ていることを確認します。

試しに大きめのデータをやり取りしてみてグラフの数値が上がることを確認しましたのでトラフィックがC1NSを経由していることを確認しました。

さいごに

今回はCloud One Network Securityを利用してしてトラフィック検査ができるように準備をしてみました。
Hosted infrastructureは新しい機能のためまだインターフェイスが対応していないところが多くあります。
ただ、アプライアンスを自身の環境で管理運用しないでいいのはコスト面でも運用面でもメリットを感じました。
今後はNetwork Securityの設定周りを試していきたいと思います。
少しでもお客様の参考になればと考えております。