Sophos CloudでEC2をマルウェアから保護する
はじめに
Sophos Cloudは統合セキュリティソリューションであり、Windows、Mac、モバイルなどの様々なデバイスを人をベースに管理し、同様にサーバーの管理も可能な製品です。管理コンソールはSophosがSaaSとして提供しており、管理サーバを構築する必要はありません。サーバーもユーザーが持つデバイスも一元管理できるというのはとても便利なソリューションですね。
と、いうことで、今回はSophos Cloudを使って、EC2上に構築したAmazon Linuxサーバーをマルウェア保護してみました。
やってみた
今回は無償評価版を使っています。Sophosの無償評価版ページから申し込みをすると、各製品の評価アカウントが払い出しされます。
Sophos Cloud管理コンソールへのログイン
評価アカウント用にメールで送られてきたWebサイトにアクセスすると、以下のようなログイン画面が表示されます。登録したメールアドレスとパスワードを入力し、[ログイン]ボタンをクリックします。
ログインすると、以下のように管理コンソールが表示されます。まだ何の管理もされていないので、対象が全部0です。この後EC2上のAmazon LinuxにEndpoint Antivirusをインストールするため、[ダウンロード]をクリックします。
ダウンロードページが開きます。今回はAmazon Linuxに導入するため、[Linux]のリンクをクリックします。クリックするとシェルスクリプトがダウンロードされます。
Amazon LinuxへのEndpoint Antivirus for Sophos Cloudのインストール
ダウンロードしたシェルスクリプトをAmazon Linuxにアップロードし、root権限で実行します。インストールと最新のウイルスパターンへのアップデートが行われます。
$ sudo sh ./SophosInstall.sh
インストールされた後の状態を確認してみます...が、chkconfigには登録されていません。
$ sudo chkconfig --list | grep sav (何も表示されない)
そこで以下のコマンドを実行します。
$ sudo /opt/sophos-av/bin/savdctl enableOnBoot savd Starting Sophos Anti-Virus daemon: [ OK ]
再度chkconfigで確認します。はい、以下のように登録されました!
$ sudo chkconfig --list | grep sav sav-protect 0:off 1:off 2:on 3:on 4:on 5:on 6:off sav-rms 0:off 1:off 2:on 3:on 4:on 5:on 6:off
プロセスの確認。savd、savscand、sophosmgmtdが起動しています。
$ ps aux | grep sav root 1985 0.0 0.5 515796 6084 ? Sl 12:10 0:00 savd etc/savd.cfg root 2005 1.8 19.3 933048 197592 ? Sl 12:10 0:05 savscand --incident=unix://tmp/incident --namedscan=unix://root@tmp/namedscansprocessor.0 --ondemandcontrol=socketpair://38/39 socketpair://36/37 --threads=5 sophosav 2028 0.0 1.3 191408 13504 ? S 12:10 0:00 sophosmgmtd -c import sophosmgmtd.sophosmgmtd,sys;sys.exit(sophosmgmtd.sophosmgmtd.main(sys.argv)) --daemon --RMS=0 root 2299 1.5 19.5 726148 199452 ? Sl 12:10 0:04 savscand --incident=unix://tmp/incident socketpair://46/47 --threads=5
再度Sophos Cloudの管理画面で確認すると、以下のようにサーバーが登録されたことがわかります。
該当のサーバーをクリックすると、以下のように詳細情報が表示されます。イベントが一元で見れるのは良いですね。
ポリシーの作成と適用
現時点ではポリシーが初期の1つしか無いため、全てのサーバが同じポリシーで動作しますが、サーバーの種類や提供するサービスによって動作を変えたい場合があります。そこでポリシーを追加してみます。管理コンソールの[サーバー]-[ポリシー]をクリックします。
[サーバーポリシー]画面が表示されます。[追加]ボタンをクリックします。
サーバーポリシーの追加画面が表示されます。ポリシー名を指定します。[次へ]ボタンをクリックします。
ポリシーの適用先を選択します。今回追加したサーバーを選択し、[次へ]をクリックします。
検索オプションを設定します。Linuxサーバーの場合、Windowsサーバーより設定できる項目が少ないです。今回は検索スケジュールを変更してみました。[次へ]ボタンをクリックします。
サーバーロックダウンの設定を行います。なお、現時点でLinuxサーバーはロックダウン動作対象外です。
ポリシーの有効化についての設定です。[このポリシーを有効化する]のチェックが入っていることを確認し、[保存]をクリックします。
[サーバーポリシー]画面に戻ると、今回作成した[Linux]ポリシーが作成されていることがわかります。
サーバーの詳細画面を確認すると、[マルウェアポリシー]が[Linux]に変わったことがわかります!
さいごに
今回はサーバー保護の観点で設定を行ってみました。冒頭にも記述したとおり、管理サーバーを別途構築しなくて良い、というのはとてもクラウド的で良いなと思います。