WorkSpacesにCloudOne Workload Securityを導入してカスタムバンドルを作成してみる

2022.04.20

こんにちは、コンサル部@大阪オフィスのTodaです。

WorkSpacesのセキュリティ保護をするためCloudOne Workload Security(以降C1WS)を試す機会があり、導入に必要な設定とカスタムバンドル作成までの手順をまとめてみました。

やりたいこと

  • Windows版WorkSpacesへのC1WS導入
  • カスタムバンドルの作成
  • カスタムバンドルからWorkSpaces作成時にC1WS自動登録、保護

Cloud One Workload Security とは?

トレンドマイクロ社が提供している製品でサーバ保護に必要な複数のセキュリティ機能を提供するクラウド型総合サーバセキュリティサービスです。
詳細は公式サイトをご覧ください。

事前準備

当作業はWorkSpacesが動作できる状態から開始します。
C1WSの利用は体験版にて確認をしております。
C1WSには「WorkSpaces」というポリシーを作成して関連付けいたします。

操作手順

C1WSとAWSアカウントとの連携

C1WSにてAWSアカウントの連携をおこないインスタンスの情報を取得するように設定します。
CloudOneにログインをおこない[Workload Security]を選択します。
下記手順にてC1WSとWorkSpacesが設置されているAWSアカウントとの連携をおこないます。

■ AWSアカウントの追加について - CloudOne
https://cloudone.trendmicro.com/docs/jp/workload-security/aws-add/

AWSアカウントの追加はコンピュータ設定にて可能でございます。
C1WSとAWSアカウントとの連携

AWSアカウント連携にWorkSpaces追加設定

AWS連携を設定した後、プロパティにてWorkSpacesの追加設定が必要になります。
AWS連携で追加された項目のサブメニューを開いていただき[プロパティ]をクリックください。

AWSアカウントとの連携の追加設定1

設定内の[Amazon WorkSpacesを含める]を有効化して画面下の[OK]をクリックします。

AWSアカウントとの連携の追加設定2

Agentからのリモート有効化設定

画面上部メニュー[管理]をクリックして[システム設定]を表示します。
Agentからのリモート有効化の項目にて下記設定を有効化します。

  • Agentからのリモート有効化を許可:有効
    • 任意のコンピュータ:有効
    • 割り当てるポリシー: (任意ポリシー) 例 WorkSpaces
  • Agentによるホスト名指定を許可:有効
    • コンピュータがすでに存在する場合:既存のコンピュータの再有効化
  • クローンAgentの再有効化:有効

設定後、保存をおこないます。

Agentからのリモート有効化設定

割り当てるポリシーの指定は、複製されるWorkSpaces全てに同じポリシーを設定するケースにご利用いただけます。
複数ポリシーを条件にて割り当てする場合は、割り当てるポリシー指定はせず、別途イベントベースタスクにて条件指定でリモート有効化のポリシー指定をおこないます。

■ コンピュータの追加または変更時にタスクを自動的に実行する
https://cloudone.trendmicro.com/docs/jp/workload-security/event-based-tasks/

Agentのアップグレード設定 (任意)

インスタンスを生成した段階でC1WSエージェントを最新のバージョンにアップグレードできます。 当設定は、運用に合わせて有効化するかの判断をください。

Agentからのリモート有効化設定と同じページにてAgentのアップグレードを設定ください。
[Windows版Agentを有効化するときに自動的にアップグレードする]を有効化いただくことで初期起動時にエージェントのアップグレードが実行されます。

Agentのアップグレード設定 (任意)

インストールスクリプトの取得

画面上部メニュー[サポート情報]をクリックしてサブメニューから[インストールスクリプト]を選択します。
表示される設定にて下記指定をおこない、表示されるスクリプトをメモに残します。

  • プラットフォーム: Windows版Agentのインストール
  • インストール後にAgentを自動的に有効化: 有効
    • セキュリティポリシー: 関連付けするポリシーを指定 (今回WorkSpacesを指定)
  • Workload Security ManagerのTLS証明書を確認: 有効

インストールスクリプトの取得1

インストールスクリプトの取得2

WorkSpacesへのインストール

カスタムバンドル作成用のWorkSpacesにログインをおこない管理者権限にてPowerShellの起動をおこないます。
取得したインストールスクリプトの中で上下 と を削除した状態のスクリプトを貼り付けして実行をおこないます。

インストールが正常に完了すると最終行に「DSA Deployment Finished」と表示されます。

WorkSpacesへのインストール

コンピュータの登録確認

C1WSのコンピュータ一覧に登録したWorkSpacesが「管理対象(オンライン)」として表示される事を確認します。

コンピュータの登録確認

イメージの作成

WorkSpacesの機能にてイメージを作成します。
AWSマネージメントコンソールにログインをおこないサービス[WorkSpaces]を選択します。
WorkSpacesの一覧からカスタムバンドル作成用の環境を選択して、[アクション] > [イメージ作成]を選択します。
※イメージ作成は起動中のWorkSpacesが必要です、また作成中はサスペンド状態になるため対象のWorkSpacesが一時的にご利用いただけなくなります。

イメージの作成

イメージの状態が「使用可能」になれば作成完了になります。

バンドルの作成

左メニューから[イメージ]選択します。
作成されたイメージを選択して[アクション] > [バンドル]作成を選択します。
バンドル作成時に下記設定を運用に合わせて指定します。
指定後、[バンドルを作成]をクリックします。

  • バンドル名
  • 説明
  • バンドルのハードウェアタイプ
  • ストレージ設定

WorkSpacesをカスタムバンドルにて作成

WorkSpacesを新規作成します。
バンドルの選択にて先ほど作成したカスタムバンドルを選択して作成を実行します。

WorkSpacesをカスタムバンドルにて作成

C1WSのコンピュータ一覧確認

新規作成後にC1WSのコンピュータ一覧を確認するとカスタムバンドルで作成されたWorkSpacesが別個体のコンピュータと認識されて登録されています。
上記でC1WSのインストールからカスタムバンドルの作成まで完了になります。

C1WSのコンピュータ一覧確認

さいごに

今回はWorkSpacesにCloudOne Workload Securityを導入してカスタムバンドルを用意してみました。
WorkSpacesのバンドルによってはセキュリティソフトが未導入の物もございますのでその際、CloudOneの導入が1候補としてございますので今回ご紹介いたしました。

弊社ではSPPOライセンスをご利用頂くことで大変安く導入頂く事も可能でございます。
少しでもお客様の作りたい物の参考になればと考えております。