CloudOne Workload Securityでエージェント利用時に必要なポートとIP許可について調べてみた

2022.03.31

こんにちは、コンサル部@大阪オフィスのTodaです。

トレンドマイクロ社が提供しているCloudOne Workload Security(略:C1WS)で監視に利用するエージェントに必要なポートとIP制限について調べてみました。

Cloud One Workload Security とは?

トレンドマイクロ社が提供している製品でサーバ保護に必要な複数のセキュリティ機能を提供するクラウド型総合サーバセキュリティサービスです。
詳細は公式サイトをご覧ください。

注意事項

当通信確認はC1WSとエージェントの監視に必要なポートに確認しています。
リレーやSIEMまたはSyslogサーバをご利用の場合は別途ポートが必要になります。

■ ポート番号、URL、およびIPアドレス - C1WS
https://cloudone.trendmicro.com/docs/jp/workload-security/communication-ports-urls-ip/

結論

今回、最低限必要なポートで、安全に通信できる方法を調査したところ CloudOneとの通信を「Agent/Applianceから開始」に設定をおこない、セキュリティグループにて「Port:443のアウトバウンド許可」が最低限の通信許可とわかりました。
上記設定はインバウンド側の通信許可は必要なく、C1WSのエージェントの通信許可と 不正プログラム対策機能で利用しているSmart Protectionの利用も可能になります。
C1WSの初期設定では「Agent/Applianceから開始」に設定されています。

調査の過程

Workload Security ManagerとAgent/Applianceの通信方向について

CloudOneには通信をマネージャまたはエージェントどちらから開始するか設定をすることが出来ます。
設定により必要ポートが変わりメリット・デメリットがございます。

設定は「ポリシー」または「コンピュータ」で可能で、ポリシーに設定することで関連する子ポリシー、関連するコンピュータに一括反映が可能です。
対象のポリシー詳細を表示して[設定]をクリックします。
表示内の「Workload Security ManagerとAgent/Applianceの通信方向」が設定項目になります。

Workload Security ManagerとAgent/Applianceの通信方向

Agent/Applianceから開始

■ 必要な通信許可
セキュリティグループで許可が必要なポートは 443 のアウトバウンド通信のみになります。

■ メリット
外部からのアクセスを許可するインバウンド通信の許可が必要ない点がございます。

■ デメリット
CloudOne管理画面の操作内容が即座に反映されない、検知内容のログ表示が遅れる場合がある。
エージェントから通信を開始する場合、ハートビートによる一定間隔の通信になるため、設定の反映やログの表示がおこなわれず待機状態になります。

Managerから開始

■ 必要な通信許可
セキュリティグループで許可が必要なポートは 4118 のインバウンド通信になります。
インバウンド側の通信はアクセスを絞るためIP制限が推奨されます。
下記サイトの「Workload Security IPアドレス」にリージョン別に表示されているIPアドレスを指定ください。

■ ポート番号、URL、およびIPアドレス
https://cloudone.trendmicro.com/docs/jp/workload-security/communication-ports-urls-ip/

また、CloudOneにはSmart Protectionという機能があり不正プログラム対策機能にて利用しています。
上記を利用するため 443 のアウトバウンド通信も許可が必要になります。

■ メリット
CloudOne管理画面の操作内容が即座に反映されるようになります。またログの取得も短い時間で可能になります。

■ デメリット
外部からアクセスを許可するインバウンド側のルール変更が必要になります。

双方向

■ 必要な通信許可
セキュリティグループで許可が必要なポートは 4118 のインバウンドと 443 のアウトバウンド通信になります。
インバウンド側の通信はアクセスを絞るためIP制限が推奨されます。
下記サイトの「Workload Security IPアドレス」にリージョン別に表示されているIPアドレスを指定ください。

■ ポート番号、URL、およびIPアドレス
https://cloudone.trendmicro.com/docs/jp/workload-security/communication-ports-urls-ip/

■ メリット
CloudOne管理画面の操作内容が即座に反映されるようになります。またログの取得も短い時間で可能になります。

■ デメリット
外部からアクセスを許可するインバウンド側のルール変更が必要になります。

C1WSの指定IPのみ通信許可をした場合

C1WSではリージョン別でIPアドレスが掲載されています。
インバウンド、アウトバウンド共にIP制限をかけた方が良いのではと思い、試してみたところSmart Protectionの機能で通信不能が発生して機能が制限される事がわかりました。

C1WSの指定IPのみ通信許可をした場合

Smart Protectionは世界中から脅威情報を収集、分析している仕組みで不正プログラム対策とWebレピュテーションで未知の脅威に対応するため導入しておきたい機能になります。
Smart Protectionで利用されているIPアドレスは公開されていないためエージェントが通信できるようにポート 443 のアウトバウンド通信の許可が必要になります。

さいごに

今回はC1WSで利用するエージェントに最低限必要なポートとIP制限について確認をしてみました。
少しでもお客様の対応したいことの参考になればと考えております。