DSaaSでDSM-DSA間通信をDSAから開始するための設定手順
こんにちは、虎塚です。
Deep Securityを利用する場合、保護対象コンピュータにはDeep Security Agent (以下、DSA) をインストールします。DSAをインストールしたコンピュータでは、Deep Security Manager (以下、DSM) と通信するためのポートを開放する必要があります。
この記事では、まず、Deep Securityが使用する通信ポートをおさらいします。次に、DSAから通信を開始するための設定手順を説明し、DSA側のポートを全開放しないようにする方法を紹介します。
Deep Securityの使用通信ポート
パッケージ版の場合
パッケージ版のDeep Securityを使用する場合、自前で構築したDSMから、DSAの4118番ポートへの通信がおこなわれます。DSAからDSMへは、4119番、4220番、4122番で通信がおこなわれます。
保護対象コンピュータと同じVPC内に、DSMを構築する場合も多いでしょう。その場合、DSM-DSA間はVPCローカルの通信になるため、セキュリティ面での懸念は特にないと思います。
DSaaS版の場合
SaaS版のDeep Security (以下、DSaaS) を使用する場合も、SaaSとして提供されるDSMから、DSAの4118番ポートへの通信がおこなわれます。DSAからDSMへは、パッケージ版と異なり、443番ポートで通信がおこなわれます。
DSMからDSAへの通信を許可するにあたり、問題になることがあるのは、アクセス元のIPアドレス制限です。DSaaSでは、固定されたIPアドレス範囲をユーザに提供していません。そのため、保護対象コンピュータ側で、4118番ポートをすべてのIPアドレスに対して開放する必要があります。4118番ポートを全開放することは、組織のセキュリティポリシーで許容されないケースがあるかと思います。
解決方法
上のようなケースでは、DSM、DSA間の通信をDSA側からだけ開始するように設定します。これによって、DSMから開始されるリクエストを受ける必要がなくなるため、DSA側で4118番ポートを閉塞できます。
以下では、その設定手順を説明します。
DSA側からのみ通信を開始するための設定手順
DSMの管理画面にログインして、[ポリシー]タブを開きます。保護対象サーバに適用しているポリシーを選択し、ダブルクリックします。または、ポリシーを右クリックして、コンテキストメニューの[詳細]を選択します。
ポリシーの詳細画面で、左メニューから[設定]を選択します。
[コンピュータ]タブの[通信方向]にある[Deep Security ManagerとAgent/Applianceの通信方向]のドロップダウンリストから、[Agent/Applianceから開始]を選択します。
以上を実施すれば、DSAをインストールしたコンピュータで4118番ポートを閉じてしまっても、問題ありません。
それでは、また。