Cloud One Workload SecurityでEC2リソースのタグを使用してポリシーを自動的に割り当てしてみた

Cloud One Workload SecurityでAWSのEC2リソースのタグを使用してポリシーの自動割り当てを試してみました。
2022.08.24

こんにちは、コカコーラ大好きカジです。

Amazon EC2 リソースのタグ付けで、 キーと値の形式でメタデータを割り当てし、リソースを分類できます。 このメタデータを使用して、Cloud One Workload Security Agent(Deep Security Agent)が有効化されたときにCloud One Work load Securityのポリシーをエージェントに自動的に割り当てることができるため、試してみました。

いつからできるようになっていたかはわかりませんが、GCPやAzureでも利用可能のようです。

参照元マニュアル(元ネタ)

前提条件

Cloud One Workload Securityにおいて以下の設定が終わっていることを前提とします。

Cloud One側からAWS環境を参照できる必要がありますので、AWSアカウントの追加について が完了していること

自動割り当てするCloud One Workload Securityのポリシーが必要なので、ポリシーの作成 が完了していること

設定方法

イベントベースタスクの作成

Cloud One Workload Security(以後C1WS)の管理 > イベントベースタスク > 新規 で、Agentからのリモート有効化を選択

ポリシーの割り当て、で保護対象サーバを登録したいポリシーを指定。今回は作成済みのポリシー「kaji-test」を指定します。

先ほど指定したポリシーと、どのAWSのEC2タグを組み合わせるか指定します。 今回は「Group」というキーに「Web:という値が入っているタグがある場合に自動的に「kaji-test:ポリシーを割り当てるように設定します。

タスクの有効化を完了を押します。

イベントベースタスクの作成されたことを確認

テスト用のEC2インスタンス構築

詳細省略しますが、EC2インスタンスを構築し、先ほどのタグを追加しておきます。

EC2のタグが設定されていることを確認

EC2インスタンスにCloud One Workload Security Agent(Deep Security Agent)をインストール

C1WSのGUIで、サポート情報 > インストールスクリプト を開きますが、ポリシーを指定せずにスクリプトを保存またはクリップボードに保存します。

EC2にSSHログインしてインストールスクリプトを実行し、上記のスクリプトを、クリップボードにコピーして、スクリプトファイルとして保存して実行します。

インストール後にイベントベースタスクによって自動的にポリシーが設定されることを確認

イベントベースタスクが実行されたことが確認できます。

コンピュータの一覧でポリシー別に表示すると該当ポリシー内にEC2インスタンスが割り当てされていることを確認します。

最後に

イベントベースタスクを用いることで、C1WSのポリシーが自動設定されるので、汎用的に複数の役割に利用しているマシンイメージ(AMI)を利用しているとインストールスクリプトが共通化できて便利だと思いました。

また、ポリシーの指定忘れの防止や、インスタンス再構築した場合もエージェントのみインストールしておけば、自動的にポリシーを設定してくれるので便利だと思います。

個人的に更に期待したい機能として、イベントベースタスク実行時に、ポリシー設定直後に「推奨設定検索」まで実行可能ですと非常に強力な機能になると思いました。今後のアップデートに期待したいと思います。