Deep Securityのバイパスルールを設定してみた
こんにちは、コカコーラ大好き、カジです。
Deep Security as a Service(以下DSaaS)で、AWS EC2インスタンスを保護する環境下で、高パフォーマンスの通信が要求される環境での注意点 - バイパス(放置)ルール作成手順を試してみましたので、ご紹介します。
注意点
バイパス(放置)ルールを割り当てる事で、該当の通信に対してはファイアウォールおよび侵入防御による保護が行われなくなります。通信のパフォーマンスが低下する事が業務に与えるリスクと、該当の通信に対して保護が行われなくなるリスクを評価し、通信のパフォーマンスを優先する事が必要と判断した場合に以下の設定を行ってください。*上位サイトからの引用となります。
構成図
環境
通信に必要なセキュリティグループの設定はすでに実施済みとします。
EC2
- インスタンスサイズ=t2.micro
- OS=Amazon Linux amzn-ami-hvm-2016.03.3.x86_64-gp2 (ami-374db956)
Deep Security
- DSaaS=Trend Micro Deep Security Manager (バージョン 10.0.2365)
- Deep Security Agent(以後DSA)=9.6.7256
Deep Security設定方法
高パフォーマンスの通信が要求される環境での注意点 - バイパス(放置)ルール作成手順を元に設定します。
DSaaSログインし、ポリシー>該当マシンのポリシー>ファイアーウォールを選択
割り当てられたファイアーウォールルールで、「割り当て/割り当て解除」>「新規ファイアウォールルール...」を選択
上記のところで、バイパスルールは片方向づつルール作成が必要ですので2つ作成します。以下以外はデフォルト
| 設定項目 | 送信ルール設定内容 | 受信ルール設定内容 |
|---|---|---|
| 処理 | バイパス | バイパス |
| プロトコル | TCP | TCP |
| パケット送信元IP | マスク指定(10.1.11.0/255.255.255.0) | マスク指定(10.1.11.0/255.255.255.0) |
| パケット送信元ポート | 1025 | 任意 |
| パケット送信先IP | マスク指定(10.1.11.0/255.255.255.0) | マスク指定(10.1.11.0/255.255.255.0) |
| パケット送信先ポート | 任意 | 1025 |
ルールの修正を行う場合は、該当のルールを右クリックで、「プロパティ(グローバル)...」を選択して変更します。
ポリシー
今回、テストのため、DSAがインストールしているサーバは、ミドルウェアを全くインストールしていないため、特に侵入防御ポリシーが適応されないのでメールのDeep Securityポリシーが動作するよう、以下のポリシーを「割り当て」設定。
- Mail Server Common
- Mail Server MailEnable
- Mail Server Miscellaneous
して、上記のルールを変更し、ポートを25,110,143のみから、1025を追加し、25,110,143,1025に変更します。
測定
有効化と無効化での違いをiperfを利用して測定してみました。iperfの利用方法は、こちらをみてください。 通信を検査していない分、高速になっていることがわかりました。*あくまでも検証での結果となり、通信速度を保証するものではありませんのでご了承ください。
バイパスファイアウォールルール無効時
| 項目 | 10.1.11.141(iperf クライアント側) | 10.1.11.72(iperf サーバ側) |
|---|---|---|
| 1回目 | 805Mbps | 804Mbps |
| 2回目 | 819Mbps | 817Mbps |
| 3回目 | 877Mbps | 876Mbps |
バイパスファイアウォールルール有効時
| 項目 | 10.1.11.141(iperf クライアント側) | 10.1.11.72(iperf サーバ側) |
|---|---|---|
| 1回目 | 992Mbps | 991Mbps |
| 2回目 | 989Mbps | 987Mbps |
| 3回目 | 974Mbps | 972Mbps |
まとめ
バイパスルールは、双方向でルールを設定が必要な事やパフォーマンスが向上することを理解しました。 また、該当の通信に対して保護が行われなくなるので、正しく使用法を守って利用したいですね。 どなたかのお役に立てれば光栄です。
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
