AWS 向け Deep Security Agentインストール方法まとめ

こんにちは、コカコーラ好きのカジです。 2〜3ヶ月に1度ペースでお客様よりDeep Security Agentインストール方法の問い合わせを受けることがあるのでブログにまとめました。 よく使われると思うパターンでインストール方法を記載しました。誰かのお役にたてれば光栄です。

前提条件

Deep Security Manager(パッケージ版、DSaaS)にてポリシー作成を完了しておいて下さい。

EC2インスタンス(Windows)の場合

以前はRDP(リモートデスクトップ)を用いて1台づつ実施していましたが、SSM Run Commandを用いて実施できます。 (SSMエージェントは最近のWindows 2012 R2以降はすでにインストール済み。)

Deep Security Manager(パッケージ版、DSaaS)にて以下を実行

サポート情報 > インストールスクリプト をクリック

DSA-Install-01

インストール対象のOSを選択(Windows 64bitなど)し、「インストール後にAgentを自動的に有効化」をチェックします。

「セキュリティポリシー」にて設定したいポリシーを選択し、スクリプトをクリップボードへコピーします。

DSA-Install-03

ここまではLinuxでも変わりません。ここからSSM Run Commandを利用してWindowsにインストールします。 WindowsのEC2インスタンスのIAM Role(AmazonEC2RoleforSSM)も付与しておきます。

DSA-Install-10

EC2 > マネージドインスタンスより、コマンド実行を選択します。 DSA-Install-11

AWS-RunPowershellScriptを選択します。 DSA-Install-12

条件を満たしているターゲットが自動的に表示されると思います。インスタンスがない場合は、SSMの前提条件をご確認ください。 インストールしたい対象インスタンスを選択します。 「Commands」にDeep Security Managerで出力したスクリプトをペーストします。 DSA-Install-13

最後のRunをクリックするとインストールされます。 DSA-Install-14

ステータスが「成功」になるのを待ちます。 DSA-Install-15

Deep Security Manager側に登録されていることを確認します。

参考元

SSM Run Commandを利用して、EC2Configを大量にアップデートする

EC2インスタンス(Linux)の場合

Deep Security Manager(パッケージ版、DSaaS)にて以下を実行(Windowsと同じです。)

  • サポート情報 > インストールスクリプト をクリック
  • インストール対象のOSを選択(Amazon Linux など)します。
  • 「インストール後にAgentを自動的に有効化」をチェック
  • 「セキュリティポリシー」にて設定したいポリシーを選択
  • クリップボードへコピー

DSA-Install-02

ここからWindowsと異なります。

  • SSHで接続し、スクリプトを貼り付けて実行してインストールします。
  • Deep Security Manager側に登録されていることを確認します。

複数インスタンスへのインストールはターミナルソフトや、Ansibleなどを用いて一括実行がオススメです。 Windowsと同じようにSSM Run Commandを利用しても良いのですが、EC2インスタンス側にSSMエージェントをインストールする必要がありますので、ターミナルソフトやAnsible等で一括インストールした方が手軽だと思います。

Auto Scalingの場合

Deep Security Manager(パッケージ版、DSaaS)にて以下を実行します。(Linuxと同じため、省略します。)

  • サポート情報 > インストールスクリプト をクリック
  • インストール対象のOSを選択(Amazon Linux など)
  • 「インストール後にAgentを自動的に有効化」をチェック
  • 「セキュリティポリシー」にて設定したいポリシーを選択
  • クリップボードへコピー

Auto Scalingの起動設定作成時にユーザデータ部分に貼り付けます。 DSA-Install-16

インスタンス起動時に自動的にインストールされます。

ElasticBeanstalkの場合

今まで記載したインストールスクリプトを出力結果を元に、Integrate Deep Security as a Service with AWS Beanstalkのサンプルebextensionsファイルを編集します。 それでもハマった内容は以下にまとめています。

AWS Elastic Beanstalk .NET環境へDeep Security Agentをインストール時に有効化されないときの対処法

AWS Elastic Beanstalk Docker 環境へDeep Security Agentをインストールする

まとめ

Deep Security Managnerのインストールスクリプトは便利だと思います。また、WindowsもSSM Run Commandが利用できるようになってインストールがしやすくなりました。