Sophos Central Server ProtectionでAuto ScalingなEC2を保護する
西澤です。AWS環境のマルウェア対策ソリューションとしてSophos Centralから利用できるServer Proctectionでいろいろと試してます。今回ようやく当初の目的だったAuto Scaling環境の保護に挑戦してみようと思います。
これまでの振り返りは下記をご確認ください。
- Sophos Central Server ProtectionでWindows(EC2)を保護する | Developers.IO
- Sophos Central Server ProtectionでAmazon Linux(EC2)を保護する | Developers.IO
- Sophos CentralをAWSアカウントと連携してみた | Developers.IO
Auto Scaling環境のEC2を保護する
Auto Scaling環境のEC2インスタンスを、Sophos Centralで保護するには、下記の要件をクリアする必要があります。前提として、前の記事でご紹介したAWSアカウント連携が必須となります点にご注意ください。
- EC2起動時に、製品がインストールされ、Sophos Centralに自動登録され、保護が開始される
- EC2削除時に、保護対象から削除される
ユーザデータからSophos製品をインストールする
ということで、今回はユーザデータからSophos製品をインストールすることにします。手順はこちらに記載のとおりです。
Launch Configuration設定から、下記のようにbashスクリプトを登録しました。Sophos CentralごとにID等のその環境専用の情報がインストーラ内に埋め込まれて用意されているようですので、Sophos Central環境ごとにダウンロードURLが異なる点にご注意ください。savconfigで設定している箇所が必要な理由については、前に書いたAmazonLinuxの保護の記事をご確認ください。
#!/bin/bash curl -o /tmp/SophosInstall.sh https://[Sophos Centralから取得したインストーラのURL] sh /tmp/SophosInstall.sh /opt/sophos-av/bin/savconfig set DisableFanotify false /opt/sophos-av/bin/savconfig set PreferFanotify true /etc/init.d/sav-protect restart
ちなみに、ゴールデンAMI(カスタマイズしたイメージ)を利用する場合には、下記手順をご覧ください。--deregisterオプションで固有のID情報等をリセットしてあげることがポイントです。
Auto Sacling環境のEC2インスタンスを起動してみる
前述のような設定を施したLaunch Configurationから、Auto ScalingなEC2を起動してみました。
無事にSophos Centralに登録されたようです。
任意のポリシーを適用したい
自動登録には成功したものの適用するポリシーを変更していないことに気付きました。デフォルトポリシー以外の設定を行いたいときには、手動設定が必要ということでは要件が満たせません。
ここで、前の記事でご紹介したAWSアカウント連携をしたことで、"サーバーグループ"という項目に、自動的にグループが登録されていることが確認できます。こちらは、AWS上に登録されたAutoScalingGroupを自動的に取り込んでくれるようです。
適用したい任意のポリシーを、サーバー単位ではなく、サーバーグループ単位で登録しておくことでこの問題をクリアできることがわかりました。
無事に適用されたことを確認できました。
Auto Sacling環境のEC2インスタンスを削除してみる
自動削除は前の記事でも試したのですが、念の為の動作確認です。Auto Scaling環境のEC2インスタンスを停止してみます。
Sophos Centralからも無事削除されることを確認できました。
まとめ
ようやく本来の目的だったAuto ScalingなEC2の保護までたどり着くことができました。検証してみると思っていた以上に簡単で、ほとんど迷うことなく設定することができました。マルウェア対策としては非常に有用なので積極的にお勧めしていきたいと思います。
どこかの誰かのお役に立てば嬉しいです。
