[Trend Micro]AWS上でライセンスを従量課金かつ安く調達できるSPPO使ってみた[Cloud One]

こんにちは、臼田です。

みなさん、クラウドのセキュリティ対策してますか？(挨拶

今回は全AWSユーザーに吉報です。これまで課題があったTrend Micro Cloud Oneなどのマーケットプレイス製品のライセンスが、懸念無く従量課金で、しかもめっちゃ安く利用できるようになりました。

なんかいい事尽くしに書いたので怪しくよくわからない感じになりましたが、とにかく私はすごく嬉しいのです！詳細は以下をどうぞ。

どういうことだってばよ

まずこれまでの課題から。

Trend Micro Cloud OneはDeep Securityと表現すると知っている方も多いと思いますが、Trend Microのクラウド対応のセキュリティ製品群です。Deep Securityという名称はサーバ上で動くアンチマルウェア/IDS/IPS/変更監視/セキュリティログ監視などの機能で、Cloud Oneの製品群のうちWorkload Security(旧Deep Security as a Service/DSaaS)で管理する製品です。

昔からAWS上でのサーバ上のセキュリティ対策製品として親しまれていたため、Trend MicroのAWSセキュリティはDeep Security(Wrokload Security)のイメージが強いのですが、最近では以下の図のように様々なレイヤーの保護機能を提供しています。

軽く紹介します。

• Workload Security: Deep Securityを管理するクラウドのマネージャー。EC2のセキュリティ。
• Container Security: EKSのアドミッションポリシーなど。
• Application Security: コンテナ・サーバーレス環境でアプリケーションに埋め込むセキュリティ。
• Network Security: ネットワークレイヤーのIPS。
• File Storage Security: S3のマルウェアスキャンがサーバーレスで提供される。つまりネ申。
• Conformity: AWSの各種設定をチェックするいわゆるCSPM。ルールの数が多くWell-Architectedのチェックも可能。
• Synk: オープンソースの可視化と脆弱性対策。

本当に様々な機能が提供されています。

ただし、これまではこれらの機能をAWSのマーケットプレイスから簡単に利用することは出来ませんでした。

正確には、ポチっと利用すること自体は出来ましたが、日本語のサポートを受けることが出来ませんでした。そのため、別の経路でライセンスを調達する契約方法が、これまでの日本でのTrend Micro製品の使い方でした。オンデマンドでないライセンス利用は、一時的な利用のために多数のライセンスを事前確保して費用が余計にかかる or 一部ホストのセキュリティ対策を諦めるという選択肢となっていました。

今回、クラスメソッドではSPPOという契約体型で、マーケットプレイスからTrend Micro Cloud Oneの製品群を提供できるようになりました。この仕組は通常よりかなり安いマーケットプレイスのライセンスから、更に5%のディスカウントを受けることができる契約体型です。

そして、これに合わせてAWS MarketplaceからのCloud One購入で日本語サポートが受けられるように変わりました！

以下は日本語で日本のサポートセンターへのお問い合わせが可能です。 Trend Micro Cloud One サポートケースの作成についてを参照し、窓口をご選択ください。

• AWS Marketplaceで購入されたTrend Micro Cloud Oneシリーズ各製品

つまり、これからはSPPOが利用できる状況であれば、マーケットプレイスの安いライセンスをディスカウント有りで、オンデマンドで利用しつつ、AWS環境であれば日本語サポートが受けられる、というすべての制約から解き放たれる形になりました！

それでは実際に使ってきます。これまでの使い方と少し違った考慮点などもありますので、利用を検討している場合は以下のやってみたもご確認ください。

やってみた

今回はCloud Oneの中から一番使われているWorkload Securityを使うところをやっていきます。

以下の流れです。

• AWS MarketplaceからSPPOを利用してCloud Oneをサブスクライブ
• 新規テナントの登録
• Workload Securityのセットアップ
• AWSアカウント連携
• EC2作成
• 課金の確認
• サポート

まずはAWSアカウントにログインし、Cloud Oneのマーケットプレイスを開きます。Contiune to Subscribeを押します。

SPPOが有効な環境であればサブスクライブのオファー先が、複数表示されます。SaaS Private Offerを選択した状態でSubscribeします。ちなみに下の方のPricing Detailsでディスカウントが効いていることが確認できます。SPPOはクラスメソッドのお客様環境であれば、標準的なご契約の場合既に利用できる状態です。個別のアカウントを分離した契約がある場合などはデフォルトでSPPOが無効の場合もありますので、Private Offerが表示されなければ個別にご相談ください。

サブスクライブできたらCloud OneのセットアップのためにSet Up Your Accountを選択します。

Cloud Oneの画面に移動してきます。ここでは既存のCloud Oneのアカウントに入るか新規で作成するかと出てきますが、既存で別調達のライセンスを利用している場合には別途新規アカウントを作成する必要があります。これはライセンス体系を混在させた利用がサポートされていないためです。注意しましょう。

というわけで各種情報を入力し、特にCompany/Accountで既存と重複しないような命名をしつつサインアップします。

サインアップしたらWorkload Securityの画面が開かれました。利用できる機能群を確認するため左上のCloud Oneアイコンを押します。

Cloud Oneのトップ画面が表示され、各種機能が選択できる画面になりました。他の機能も利用できますが、今回はWorkload Securityの画面に戻り続きを進めます。

マーケットプレイス利用の場合の大事なポイントとして、AWSアカウント連携があります。Workload Securityの従量課金はマーケットプレイスの以下図(定価)のようにインスタンスのサイズ(vCPU数)によって変動します。

このインスタンスにどれを使っているかの判定は、AWSアカウント連携されていないと出来ず、最大料金(Not Cloud instanceとしての判定)となります。上記定価ベースで$0.01 -> $0.045と最大4.5倍もの価格差がありますので連携必須です。

AWSアカウント連携はコンピュータタブから追加で「AWSアカウントの追加」を選択します。

IAMベストプラクティスの観点からも「クイック」でIAM Roleを作成していきます。

表示されるとおりにCloudFormationを実行して暫く待つと完了します。

テンプレートを削除してくださいとあるので削除します。このテンプレートは別の仕組みでCloudFormation管理外のIAM Roleを作っているので、テンプレート自体を削除しても連携に問題はありません。

連携できたらEC2を立ててエージェントを入れていきます。まず右上の「サポート情報 -> インストールスクリプト」を開きます。

今回はポリシー設定は特にこだわっていないのでデフォルトである「Base Policy」を設定しつつスクリプトをコピーします。

細かい手順は省きますがEC2を作成していきます。途中のユーザーデータで先程のスクリプトを入れて作成します。

作成されてしばらくすると、無事登録されます。

ライセンスの状態を確認してみます。上部アカウント名から「アカウントの詳細」を開きます。

「AWS Marketplaceによるライセンス許可」となっているのでマーケットプレイス購入であることがわかります。保護対象の台数などがわかりますが、実際は1時間単位の、インスタンスサイズ毎の従量課金なのでここでは細かいことは現状わかりません。

請求の仕組みについては請求および価格設定について - Workload Security | Trend Micro Cloud One ドキュメントで解説されています。以下に図を引用して簡単に概要を説明します。

請求の区切り方は、00分から次の00分までの間で稼働していたユニークなホストの数で計算されます。1時間の間で5分だけでも起動していれば1時間/unit分の請求になります。00分をまたがった5分程度の起動なら2時間/unit分になります。

また、同時に起動させていなくても、別のEC2なら別のホストとしてカウントされますので、1時間の間に順次10台のインスタンスを上げて落としてとしたら10時間/unit分の請求になります。EC2自体のように秒単位ではないところに注意が必要です。

この請求の詳細な確認はAWS Cost Explorerやそれに類する請求システムの明細をご確認ください。以下のように記録されます(これはアカウント連携してなかったためNot Cloud instance判定の請求)。

サポートを受けるやり方はQ&A | Trend Micro Business Supportに詳細が記載されています。旧来のライセンスではビジネスサポートなどを利用していましたが、マーケットプレイスの場合には直接Cloud Oneのコンソールが利用できます。

Cloud Oneコンソール右上の「ヘルプ -> サポート情報」を開きます。

各種パラメータが入った状態で起票の画面になります。簡単。

まとめ

AWS Marketplaceは便利な製品をオンデマンドで調達できる素晴らしい仕組みですが、これまでは主にサポートの関係で、日本のユーザーは利用できないことが多かったです。

今回クラスメソッドがTrend Micro Cloud OneのSPPOでの提供に対応したことと、Trend Microがマーケットプレイス経由の日本語サポートに対応したことで柔軟で安いライセンス調達を適切なサポートで利用できるようになりました。

これに続いて、他のベンダーの製品も使えるようになっていって欲しいですね。

まずはCloud One各種製品をガンガン活用しましょう！