![[Deep SecurityでEC2徹底防御] #02 DSMの初期構成とDSAの登録](https://devio2023-media.developers.io/wp-content/uploads/2013/09/deepsecurity_logo_2.png){kind=logo}
[Deep SecurityでEC2徹底防御] #02 DSMの初期構成とDSAの登録
ども、大瀧です。前回は、Deep Securityの概要とDeep Securityのセットアップ前編として各コンポーネントのインストールをご紹介しました。今回は、セットアップ後編、Deep Securityを動かすためのDSM(Deep Security Manager)の初期構成と、DSA(Deep Security Agent)の登録をやっていきます。
おさらい
このあとの手順では、Deep Securityの略語がバンバン出てきますので、念のためDeep Securityの構成を復習しておきましょう。
- Deep Security Manager(DSM)
- Deep Security Agent(DSA)を管理および監視するためのDeep Securityの管理サービス。管理用EC2インスタンスにインストールしました。
- Deep Security Relay(DSR)
- Deep Security Agent(DSA)に脆弱性やウイルス定義などの情報を転送するサービス。これも、管理用EC2インスタンスにインストールしました。
- Deep Security Agenty(DSA)
- OS/アプリケーションを監視するエージェント。Amazon LinuxのEC2インスタンスにインストールしました。
関係がよくわからない!という方は、前回の構成図を見返しておきましょう。AWSのアイコンに置き換えた、今回の検証環境の構成図を示します。
1. ライセンスのアクティベーション
管理端末のWebブラウザより、DSMのWebコンソール(https://<EC2インスタンスのPublic DNS>:4119/)を表示し、管理者ユーザーでログインします。
画面上部のメニューから[管理] - [ライセンス] - [新しいアクティベーションコードの入力...]をクリックします。
ウィザードのウィンドウが表示されたら、体験版ライセンスの登録メールに記載されているアクティベーションコードをコピー&ペースト(テキストボックスが別れていますが、一度にペーストできます)し、[次へ]をクリックします。
期限を確認しつつ、[完了]をクリックします。
各項目の[ステータス]が緑色の[アクティベーション完了]になっていれば、登録完了です。
2. DSR(Deep Security Relay)の登録
続いて、DSRをDSMに登録します。DSRのインストール時にDSAも一緒にインストールされることから、DSRの登録方法は次に紹介するDSAと同様です。
上部のメニューから[コンピュータ] - [新規] - [新規コンピュータ]をクリックします。
新しいウィンドウが表示されたら、[ホスト名]に「127.0.0.1」(自ホスト *1)を入力し[次へ]をクリックします。
ここでは、[ポリシー]を[なし]のままにしましょう。うっかり[Linux Server]などを選択すると、DSAのファイヤーウォールが動作しデフォルトのファイヤーウォールポリシーによってDSMおよびDSRのポートが塞がれてしまうので、詰みます(苦笑)。
一回やってしまい、インストールからやり直しました。。。
DSMがDSAを検出するまでしばらく待ちます。
"選択したコンピュータで、有効化されてないAgentが検出されました"という表示が出たら、有効化が実行されます。(エラーではありません)
[完了]をクリックして登録完了です。
最後の画面は、チェックをオフにし、[閉じる]ボタンをクリックします。
DSRは、Relayグループという単位でDSMから認識されます。以下のように、初期設定のRelayグループのメンバーに今回のDSRが登録されていることを確認します。
上部のメニューから[管理] - [システム設定] - [アップデート]タブをクリックします。
[Relay]パネルの[Relayグループの表示...]ボタンをクリックします。
新しいウィンドウが表示されたら、[プロパティ]ボタンをクリックします。
[メンバー]の欄に、先ほど登録した「127.0.0.1」が表示されていればOKです。[OK]ボタンを押し、先ほどのウィンドウを閉じてメイン管理画面に戻ります。
3. DSRのセキュリティアップデートのダウンロード
左側のメニューから[アップデート]をクリックし、[セキュリティアップデートのダウンロード]ボタンをクリックします。
[セキュリティアップデートウィザード]のウィンドウが表示されたら、[完了]をクリックし、正常に完了したら、[閉じる]をクリックしてウィンドウを閉じます。
4. DSA(Deep Security Agent)の登録
ここでは、DSMに保護対象のインスタンスにインストール済みのDSAを登録し、DSMから管理できるようにします。
手順2のDSRの登録と同様に、上部のメニューから[コンピュータ] - [新規] - [新規コンピュータ]をクリックします。
[ホスト名]には、保護するEC2インスタンスのPrivate IPを入力し、[ポリシー]には、保護するインスタンスのOS(今回はAmazon Linuxなので、[Base Policy] - [Linux Server])を選択し、[次へ]をクリックします。
[完了]、[閉じる]ボタンをクリックし、ウィザードのウィンドウを閉じます。
コンピュータの一覧に、先ほどのEC2インスタンスが追加されていれば、登録完了です。
OKですね。
まとめ
ちょっと長かったですが、セットアップの後編として、Deep Securityの各コンポーネントの初期構成をご紹介しました。これで、Deep Securityの様々なセキュリティ機能を試す準備ができました!次回からはいよいよ、各機能のはたらきと動作の確認をしていきます。
脚注
- 検証環境では、DSMとDSRを同じEC2インスタンスにインストールしたための設定です。別のインスタンスにDSRをインストールする場合は、そのインスタンスのPrivate IPを入力します。 ↩
