Sophos CentralをAWSアカウントと連携してみた

セキュリティ製品特集

#Sophos

#セキュリティ

#Amazon EC2

#AWS

にしざわ

2017.02.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

西澤です。AWS環境のマルウェア対策ソリューションとしてSophos Centralから利用できるServer Proctectionでいろいろと試してます。予定と順番が少し変わったのですが、今回はAWSアカウント連携機能をご紹介します。

Sophos Centralの説明や基本的な使い方については、下記記事からご覧いただければ理解がスムーズかと思います。

Sophos CentralのAWSアカウント連携機能とは？

Sophos Centralに保護対象のEC2インスタンスを追加(Sophos製品をインストール)した上で、一覧画面で確認してみたところ、こんな画面が現れることに気付きました。

sophos_central_aws_integration_001

詳しくは公式ページに記載されていますが、AWSアカウント連携をすることで、下記の機能が提供されるようになります。

停止された EC2 インスタンスが Sophos Central から自動的に削除されるようにする (AWS Auto-Scaling を使用する場合など)
Sophos Central の AWS Auto Scaling グループにサーバーポリシーが適用される
Sophos Central で各サーバーに関して有用な EC2 インスタンスの情報を表示する (インスタンスの Lifecycle 状態、 AMI ID、リージョンなど)

特に、Auto-Scaling環境のEC2を保護対象としたい場合には、必須となることがわかりました。ということで、早速この機能を試してみようと思います。

Amazon Web Services と Sophos Central の統合に関するよくある質問 (FAQ) - Sophos Community

Sophos CentralのAWSアカウント連携を試してみる

といっても、他のツールを利用する場合と同じように、情報取得可能なIAMユーザを作成して、アクセスキーを登録するだけなので、簡単です。

Sophos Central用のIAMユーザを作成する

Cloud Formationテンプレートも用意されているようですが、今回は手動で作成しました。必要なポリシーは下記の通りです。

{
    "Version": "2012-10-17",
    "Statement": [
        { 
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetUserPolicy",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupsForUser",
                "iam:ListGroupsForPolicies",
                "iam:ListGroupPolicies",
                "iam:GetUser",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "ec2:DescribeInstances",
                "ec2:DescribeRegions",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

このIAMユーザ用にアクセスキー/シークレットアクセスキーを用意しておきましょう。

sophos_central_aws_integration_002