Cloud One Workload Securityをプロキシサーバ経由で利用してみた

こんにちは！AWS事業本部のおつまみです。

みなさん、Cloud One Workload Security（以降C1WS）をプロキシサーバ経由で利用してみたいなと思ったことはありますか？私はあります。

C1WSはTrend Micro社が提供するSaaSセキュリティ製品の一つです。
Cloud OneではEC2などのサーバーやコンテナ向けの製品など様々な目的別に製品が用意されています。

今回プロキシサーバ経由でインターネットと通信できるEC2インスタンスにC1WSを導入したので、その設定方法をご紹介します。

C1WSの仕組みについて

設定前に、C1WSの仕組みを簡単にご紹介します。
C1WSは以下のような仕組みになっています。

上図で出てくるDSA,DSMについて説明します。

• DSA
  • DeepSecurity Agentの略
  • EC2インスタンスなどの監視対象にインストールするエージェントを指します。
  • DSMとの通信に利用します。
• DSM
  • DeepSecurity Managerの略
  • トレンドマイクロがクラウド上で提供している管理サーバを指します。

この図から分かるように、DSA → DSMの通信経路は必須です。　

そのため、プライベートサブネットにあるEC2インスタンスはNATGatewayもしくはプロキシサーバ経由でのインターネット接続が必要です。

もし、プロキシサーバ側でURLフィルタリングや送信元IPアドレスの制御を行っている場合、ホワイトリストへの追加も必要となります。追加するドメインやポートはこちらの公式サイトをご確認ください。

なお、反対の DSM → DSAの通信経路は必須ではありません。

やってみた

前提条件

C1WSのアカウントを作成、AWSアカウントとの連携、ポリシー作成方法は割愛します。
設定方法はこちらをご参考ください。プロキシサーバを経由しない通常の設定方法となります。

今回は追加で必要な設定のみご紹介します。

設定内容

C1WSの仕組みでご紹介した図に設定する項目を追記しました。

以下、3つの設定が必要となります。

1. Workload Security のプロキシ設定
2. Relay のプロキシ設定
3. Smart Protection Network の設定

1,2はエージェントインストール時、3は管理コンソールから設定します。

管理コンソールでプロキシサーバ登録

まずは、管理コンソールでプロキシサーバを登録します。

• Workload Security コンソールにログインします。

• [管理]→[システム設定]→[プロキシ]の順に選択します。

• [プロキシサーバ] で、[新規]→[新しいプロキシサーバの追加]の順に選択します。

• [名前]および[プロキシ設定]に、プロキシサーバ名とプロキシのIPアドレスまたはURL、およびそのポート番号を入力し、[OK]を選択します。

• プロキシサーバで認証を要求するように設定していた場合は、[プロキシサーバへの接続に認証を使用] を有効にし、 [ユーザ名] および [パスワード] の各フィールドに資格情報を入力します。

以上でプロキシサーバの登録は完了です。

エージェントインストール

次にエージェントインストールと同時に下記の設定を追加します。

1. Workload Security のプロキシ設定
2. Relay のプロキシ設定　　

• Workload Security コンソールの右上隅にある[サポート情報]→[インストールスクリプト]の順に選択します。

• [Workload Security Managerへの接続に使用するプロキシ]、[Relayへの接続に使用するプロキシ]で設定したプロキシを選択します。プラットフォームやセキュリティポリシーなどは環境に合わせたものを選択してください。

• [クリップボードにコピー]を選択し、スクリプトをコピーします。

• EC2インスタンスでスクリプトを実行します。実行方法はこちらのブログをご参考ください。

プロキシの設定 - Workload Security | Trend Micro Cloud One™ ドキュメント

Smart Protection Network の設定

次に管理コンソールでSmart Protection Network の設定を追加します。

• Workload Securityコンソールで、上部にある [ポリシー] をクリックします。

• メイン画面で、使用するポリシーを選択します。

• 左側にある [設定]→[一般]タブをクリックします。

• [Census、Good File Reputationサービスおよび機械学習型検索向けのネットワーク設定] セクションで[グローバルサーバへのアクセス時にプロキシを使用する] を選択し、追加したプロキシを指定後、 設定を保存します。

• 次に、不正プログラム対策で使用する Smart Protection Network へのプロキシの設定を行います。左側にある [不正プログラム対策]→[Smart Protection] タブをクリックします。

• [ファイルレピュテーションサービス用のSmart Protection Server] セクションで[Global Smart Protectionサービスへの直接接続] を選択し、追加したプロキシを指定後、 設定を保存します。

• 次に、Webレピュテーションで使用する Smart Protection Network へのプロキシの設定を行います。左側にある [Webレピュテーション]→[Smart Protection] タブをクリックします。

• [Webレピュテーションサービス用のSmart Protection Server] セクションで[Global Smart Protectionサービスへの直接接続] を選択し、追加したプロキシを指定後、 設定を保存します。

以上でエージェントがプロキシ経由でSmart Protection Networkに接続できるようになります。

設定したコンピュータでエラーが出ていなければ、完了です。

さいごに

今回はC1WSをプロキシサーバ経由で使用する方法をお伝えしました。

最後までお読みいただきありがとうございました！
どなたかのお役に立てれば幸いです。

以上、おつまみ（＠AWS11077）でした！

参考資料

ポート番号、URL、およびIPアドレス - Workload Security | Trend Micro Cloud One™ ドキュメント

プロキシの設定 - Workload Security | Trend Micro Cloud One™ ドキュメント]

[Trend Micro]AWS上でライセンスを従量課金かつ安く調達できるSPPO使ってみた[Cloud One] | DevelopersIO

Cloud One Workload Security の機能について簡単に整理する | DevelopersIO

Cloud One Workload Securityのエージェント インストール方法を動画でわかりやすく説明してみました | DevelopersIO