DSaaSでDSM-DSA間通信をDSAから開始するための設定手順

2016.03.31

こんにちは、虎塚です。

Deep Securityを利用する場合、保護対象コンピュータにはDeep Security Agent (以下、DSA) をインストールします。DSAをインストールしたコンピュータでは、Deep Security Manager (以下、DSM) と通信するためのポートを開放する必要があります。

この記事では、まず、Deep Securityが使用する通信ポートをおさらいします。次に、DSAから通信を開始するための設定手順を説明し、DSA側のポートを全開放しないようにする方法を紹介します。

Deep Securityの使用通信ポート

パッケージ版の場合

パッケージ版のDeep Securityを使用する場合、自前で構築したDSMから、DSAの4118番ポートへの通信がおこなわれます。DSAからDSMへは、4119番、4220番、4122番で通信がおこなわれます。

Deep Securityパッケージ番の使用通信ポート

保護対象コンピュータと同じVPC内に、DSMを構築する場合も多いでしょう。その場合、DSM-DSA間はVPCローカルの通信になるため、セキュリティ面での懸念は特にないと思います。

DSaaS版の場合

SaaS版のDeep Security (以下、DSaaS) を使用する場合も、SaaSとして提供されるDSMから、DSAの4118番ポートへの通信がおこなわれます。DSAからDSMへは、パッケージ版と異なり、443番ポートで通信がおこなわれます。

DSaaSの使用通信ポート (デフォルト)

DSMからDSAへの通信を許可するにあたり、問題になることがあるのは、アクセス元のIPアドレス制限です。DSaaSでは、固定されたIPアドレス範囲をユーザに提供していません。そのため、保護対象コンピュータ側で、4118番ポートをすべてのIPアドレスに対して開放する必要があります。4118番ポートを全開放することは、組織のセキュリティポリシーで許容されないケースがあるかと思います。

解決方法

上のようなケースでは、DSM、DSA間の通信をDSA側からだけ開始するように設定します。これによって、DSMから開始されるリクエストを受ける必要がなくなるため、DSA側で4118番ポートを閉塞できます。

DSaaSの使用通信ポート (設定変更後)

以下では、その設定手順を説明します。

DSA側からのみ通信を開始するための設定手順

DSMの管理画面にログインして、[ポリシー]タブを開きます。保護対象サーバに適用しているポリシーを選択し、ダブルクリックします。または、ポリシーを右クリックして、コンテキストメニューの[詳細]を選択します。

ポリシー画面でポリシーを選択する

ポリシーの詳細画面で、左メニューから[設定]を選択します。

設定メニューを選択する

[コンピュータ]タブの[通信方向]にある[Deep Security ManagerとAgent/Applianceの通信方向]のドロップダウンリストから、[Agent/Applianceから開始]を選択します。

通信方向の変更

以上を実施すれば、DSAをインストールしたコンピュータで4118番ポートを閉じてしまっても、問題ありません。

それでは、また。