クラウド時代のセキュリティ製品 Deep Security を試してみた その1

2013.07.28

はじめに

お客様との話題にWebのセキュリティの話題がよく出てきます。 今回、トレンドマイクロ社の統合型サーバセキュリティ製品 Deep Securityに触れる機会をもらいました。 ということで、Deep Securityの概要説明と、導入検証についてお話させて頂きたいとおもいます。 全3回、一ヶ月程度になるとおもいますが、よろしくお願いします。本日は第一回、概要説明とトライアル、インストール について説明したいと思います。

トレンドマイクロ Deep Securityとは?

さまざまな機能を持つ統合型セキュリティ製品です。

  • ファイアウォール
  • 侵入検知/防止(ホスト型IDS/IPS) 
  • Webアプリケーション保護
  • ファイルやレジストリなどの変更監視
  • セキュリティログ監視

物理サーバ、VMWare、AWS、さまざまな環境に使えるセキュリティ製品です。個々の機能についてAWSの視点で見てゆきましょう。

ファイアウォール

Deep SecurityではTCP/IPレベルでの監視、防御を行なっています。 AWSですとNetwork ACL,Security Groupといった機能がありますので、ファイアウォール機能はそれほど興味をそそられない、というのが正直な所です。

侵入防御

侵入検知システム(IDS)、侵入防止システム(IPS)です。 通信パケットを監視して問題があれば通知するIDS、さらに不正なパケットを廃棄するところまで行なうのがIPSです。 IDS/IPSにはホスト型、ネットワーク型という区別があります。 ネットワークセグメントに流れるパケットを監視するのがネットワーク型、サーバ内でパケット、場合によってはファイルまで 監視するものがホスト型になります。Deep Securityはホスト型ですね。

Webアプリケーション保護

この機能と、次の機能が注目している機能です。 SQLインジェクションやクロスサイトスクリプティングなどの攻撃を防いでくれる機能です。 攻撃用の特定のリクエストに対して無効化してくれる仕組みのようです。外部からの攻撃によるWebの情報漏曳の多くは、 このパターンなので非常に有用、いえ必須の機能だと思います。

ファイルやレジストリなどの変更監視

脆弱性をつき不正なプログラムを置くという攻撃の場合、この機能で不正プログラムを検知することで 攻撃を防御することができます。例えば、不正にApacheのモジュールが置き換えられた場合などの検知に役立ちます。

 Webレピュテーションサービス(Windowsのみ)

トレンドマイクロ社が独自に集めた不正Webサイトの情報を参照して不正なサイトへのアクセスをブロックするという機能です。 ただし、Windowsのみの対応ということです。今回監視対象のサーバはLinuxにしたため、こちらの機能は確認しない予定です。 Linuxでも対応してもらえると嬉しいですね。 

セキュリティログ監視

沢山の監視対象サーバのログから、セキュリティ的に重要なイベントを抜きだし、レポートする機能です。 今回の検証では監視対象サーバが一台しかないのですが、数十、数百となる場合は重要な機能になります。

ウィルス対策

こちらは、トレンドマイクロのサーバ用ウィルス対策ソフトServerProtectとの連携する機能のようでした。Deep Security AdvanceにはServerProtectもついていますが、今回は使用していません。

検証環境の構成

Deep SecurityはAWSだけではなく、VMWareや、物理サーバ環境をまとめて管理できる能力があります。 私達の目的はAWS上での利用ですので、この部分に特化して検証してゆきます。 このためVirtual Appliance等のVMWare機能は割愛します。また、エージェントレス機能も関係なくなります。

Deep Securityのコンポーネントは大きく二つです。

  • エージェント... 侵入防御などの機能を実現するコンポーネント。監視対象サーバに導入。
  • マネージャー... 管理ソフトウェア。Webの管理コンソールを持つ。ストレージとしてDBが必要

リレーサーバというものもありますが、これは大規模環境向けのものですので今回は割愛します。

AWS上でDeep Securityを動作さるために必要な最低限の環境として 今回はマネージャとしてWindows Server 2012 + SQL Server、監視対象としてAmazon Linux + Apache Web Server の2台で最小の構成を作りました。

DS_Verification_Envpng

トライアル

http://www.trendmicro.co.jp/trial/dl_trial.asp?productid=77&CID=0 

上記サイトから、30日間のトライアルが行なえる必要なアクティベーションコードが取得できます。 今回検証するバージョンは9.0 SP1なのですが、こちらのページでは8.0のリンクですので、プログラム、ドキュメントは以下からダウンロードする必要があります。

・Deep Security 9.0 SP1 Manager と ドキュメント
http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=4372&lang_loc=13

・Deep Security Agent Linux系
http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=4374&lang_loc=13

Amazon Linuxはread meより対応のカーネルバージョンを確認しましょう。

・Deep Security Agent Windows系 http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=4376&lang_loc=13

DeepSecurityのライセンスはエージェントのみが対象です。マネージャーについては必要ありません。トライアルライセンスにエージェント数の上限はないようです。

インストール

当初、画面付きで紹介しようとおもったのですが長すぎました。また、Deep Securityはインストールガイドを熟読すべきタイプの製品です。がんばってガイドを読んでください、ということで割愛しました。
ただ、それだけでは不親切ですので、私がひっかかった部分を簡単に説明します。

  • マネージャ用サーバにSQL Serverを入れると、30GBのディスクでは足りません。 検証用としても50GB以上は持ったほうがよいです。
  • インストールガイドではデータベースの部分は詳しく書かれていませんが、今回マネージャサーバの検証に使った Windows Server 2012 + SQL Server Express edition の場合、デフォルトでTCP/IP接続+SQL Server認証が使えません。こちらを有効化する必要がありました。
    SQL Serverのネットワーク有効化
    セキュリティ認証モードの変更
  • 今回は一つのVPC内にマネージャとエージェントを配置しました。SecurityGroupの設定はこのようにしています。

エージェント(Linux) TCP 22,80,443,4118 
マネージャ(Windows) TCP 3389(RDS),4119,4120,4122

4000番台がDeep Security用のポートです。詳細についてはインストールガイドを確認してください。

  • AWSとの連携方法についてはインストールガイドではなく管理者ガイドに書かれています。"クラウドアカウント"でガイドを検索してみてください。
  • 監視対象OSは Amazon Linux 2013 を利用しようとしたのですが、Kernelのバージョンが新しすぎるということでDeep Security エージェントのインストールに失敗しました。このため、2012.9版を利用しています。

おわりに

Deep Securityの概要とトライアル、インストールについて簡単に説明しました。管理者ガイドは600ページを越えるボリュームがあります。DeepSecurityは奥が深くて、幅も広いです。さまざまな環境のセキュリティをまるごと管理できる広い守備範囲を持つためですが、運用負荷を下げるためのさまざまな仕組みもあるので、そういった機能を上手に利用して効率的なセキュリティ対策をしてゆきたいですね。

次回は、実際に管理コンソールでどのような事が出来るのか? について説明してゆきたいとおもいます。いやー、この製品はいじりがいがあります、気がつけば二週間が過ぎていました(笑)。

ではでは。