AWS上に構築したDeep Security 9.0を9.5 SP1へアップグレードしてみた #deepsecurity

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

コカコーラが大好きな、カジです。

Deep Security 9.0から9.5SP1へのアップグレードするときの手順を考慮が必要なポイント(バックアップなど)の情報も追加して、まとめてます。どなたかのお役に立てれば光栄です。

前提条件

最小構成の以下環境でテストしています。

Deep Security 9.0 SP1 Patch 4(Build 6818) on EC2(Windows 2012 R2) + AWS RDS(Oracle)

保護対象はAmazon Linux 1インスタンス

上記のDeep SecurityをDeep Security Manager 9.5 SP1 Patch1(Build 6008)へバージョンアップしてます。

Deep Security 9.5 へのアップグレードについてを元に気になるところを追加してます。

事前準備

対象システムのDeep Security Manager (以下、DSM)のバージョンを確認します。 Deep Security 9.5 Service Pack 1 へ変更可能なバージョンは以下。

DS 8.0 Service Pack 2 Patch 2 以降

DS 9.0 Service Pack 1 Patch 4 以降 *今回の対象

DS 9.5 初期ビルド / Patch 1 (DSM、DSA Windows 版および Notifier のみ 9.5 Patch 1 が存在)

Deep Security Manager 9.0 Service Pack 1 Patch 4 (Build6818)以降であることを確認します。Deep Security のバージョン確認方法

DSM-Verup-01

上記より古いバージョンの場合は、9.0 SP1 Patch4まで一度バージョンアップが必要です。

アップデート用のインストールファイルをダウンロード

トレンドマイクロ ダウンロードページでダウンロードします。

トレンドマイクロホームページ > ダウンロード> Deep Security Manager > オペレーティングシステム > Windows 64bit

Manager-Windows-9.5.6008.x64.exe (Windows 64bit版 Deep Security Manager 9.5 SP1 Patch1)

ダウンロード先ですが、USサイトと日本サイトで最新バージョンが異なる場合がありますのでご注意ください。 日本サイトからのダウンロードが良いと推測しています。(検証時もUSサイトは9.6、日本サイトは9.5でした)

作業開始前に既存システムのバックアップ

OSやデータベースによって異なるため、 [HowTo] Deep Security システムをバックアップまたはリストアする方法 を確認しましょう。今回の構成の場合は以下となります。

Deep Security ManagerのEC2インスタンスでスナップショットを作成し、バックアップを取得

DSM-Verup-11 DSM-Verup-12

Deep Security 用のRDSにてスナップショットを作成し、バックアップを取得

DSM-Verup-13

アップデート作業

事前準備で準備したダウンロードしたインストールファイルを、以下のフォルダへ転送

<例> C:¥Classmethod

Windows環境からRDP接続した場合は、ローカルPCのドライブがEC2側のエクスプローラで参照でき、転送可能なので便利です。

Deep Security 9.5 へのアップグレードについての手順に沿って実施します。

Step1 DSM のアップグレード

DSM 9.5 のインストーラをクリックし実行します。(自分は癖で右クリック>管理者権限で実行)

DSM-Verup-21

言語を「日本語」を選択します。

「次へ>」をクリックします。

使用許諾契約に同意する場合は「...同意します」を選択し「次へ>」をクリックします。

「既存のインストールをアップグレード (現在の設定を管理)」を選択し「次へ>」をクリックします。

DSM-Verup-22

インストールモードが「アップグレード」になっていることを確認し「インストール」をクリックします。

DSM-Verup-23

DSM-Verup-24

インストールの完了後、管理コンソールの [管理] > [Managerノード] の「バージョン」がアップグレード後のビルドになっていることを確認します。

DSM-Verup-25

Step2 各種ソフトウェアパッケージのインポート

管理コンソールの [管理] > [アップデート] > [ソフトウェア] > [ダウンロードセンター] より、アップグレードに必要なパッケージをインポートします。

今回の検証構成ですと、以下のみ必要となります。

Deep Security Agent(以下DSA) Agent-[Platform]-9.5.x-xxxx.[Architecture].zip

管理サーバ(DSM)、保護対象サーバ(DSA)のPlatform(OS種別、32bit/64bit)分をダウンロード

  • Agent-Windows-9.5.x-xxxx.[Architecture].zip
  • Agent-Amzn1-9.5.x-xxxx.[Architecture].zip

DSM-Verup-31

Step3 Filter Driver のアップグレード

Deep Security Virtual Appliance用のため不要

Step4 DSR / DSA のアップグレード

注意 Deep Security Agentのインストール時のネットワーク瞬断について

DSAのインストール/アンインストール/アップグレード時にはOS上のネットワークドライバのインストール/アンインストールが行われるため、ネットワークの瞬断が発生するので、バージョンアップの場合はELBから切り離して行うと安心です。(DSA 9.5以降の場合は考慮不要)

DSAのアップグレード適用

必要に応じてELBから切り離し、スナップショット取得します。 DSA-Verup-01

管理コンソールから保護対象 DSAのアップグレードを行います。 管理コンソールの [コンピュータ] 画面で、対象の DSA または DSR を右クリックし、[処理] メニューから[アップグレード] を選択します。 DSA-Verup-02

DSA-Verup-04

DSA-Verup-03

DSA-Verup-05

アップグレード完了後、ELBへ切り戻し

Step5 DSVA のアップグレード

Deep Security Virtual Appliance のため、不要。

Step6 Deep Security Notifier のアップグレード

Deep Security Virtual Appliance のため、不要。

作業時のDeep Securityのイベントログ(CSV出力したものを抜粋)

Deep Security Managerのバージョンアップ時

2015-09-16 14:36:04,情報,100,Deep Security Managerの開始,,Manager,,システム,10.10.10.137,説明を省略
2015-09-16 14:36:04,情報,900,Deep Security Managerの監査の開始,,Manager,,システム,10.10.10.137,説明を省略
2015-09-16 14:35:49,情報,902,Deep Security Managerのインストール,,Manager,,システム,10.10.10.137,Deep Security Managerをバージョン9.0.6818からバージョン9.5.6008にアップグレードしました
2015-09-16 14:33:04,情報,901,Deep Security Managerの監査のシャットダウン,,Manager,,システム,10.10.10.137,説明を省略
2015-09-16 14:33:04,情報,117,Deep Security Managerのシャットダウン,,Manager,,システム,10.10.10.137,説明を省略

Deep Security Agentのバージョンアップ

2015-09-16 15:18:26,情報,706,ソフトウェアアップデート: Agentソフトウェアのアップグレード,,Agent,10.10.10.137,システム,10.10.10.137,"Agentソフトウェアが、バージョン9.5.3.4017にアップグレードされました。
2015-09-16 15:18:26,情報,720,ポリシー送信,,Agent,10.10.10.137,システム,10.10.10.137,説明を省略
2015-09-16 15:18:26,情報,710,イベントの取得,,Agent,10.10.10.137,システム,10.10.10.137,説明を省略
2015-09-16 15:18:26,情報,715,Agent/Applianceのバージョン変更,,Manager,10.10.10.137,システム,10.10.10.137,説明を省略
2015-09-16 15:17:54,情報,264,Agentソフトウェアのアップグレード要求,,Manager,10.10.10.137,dsAdmin,10.10.10.137,Agentソフトウェアのバージョン9.0.0.4002からバージョン9.5.3.4017へのアップグレードが要求されました。
2015-09-16 15:15:51,情報,720,ポリシー送信,,Agent,10.10.10.137,システム,10.10.10.137,説明を省略
2015-09-16 15:15:50,情報,151,ソフトウェアの追加,,Manager,Agent-Windows-9.5.3-4017.x86_64.zip,dsAdmin,10.10.10.137,説明を省略
2015-09-16 15:12:35,情報,706,ソフトウェアアップデート: Agentソフトウェアのア?bプグレード,,Agent,10.10.10.141,システム,10.10.10.137,"Agentソフトウェアが、バージョン9.5.3.4017にアップグレードされました。
2015-09-16 15:12:35,情報,720,ポリシー送信,,Agent,10.10.10.141,システム,10.10.10.137,説明を省略
2015-09-16 15:12:35,情報,589,セキュリティログ監視ルールで必要なログファイルの解決,,Agent,10.10.10.141,システム,10.10.10.137,セキュリティログ監視ルールに監視対象のログファイルが割り当てられています。
2015-09-16 15:12:35,情報,710,イベントの取得,,Agent,10.10.10.141,システム,10.10.10.137,説明を省略
2015-09-16 15:12:31,情報,715,Agent/Applianceのバージョン変更,,Manager,10.10.10.141,システム,10.10.10.137,説明を省略
2015-09-16 15:12:24,情報,264,Agentソフトウェアのアップグレード要求,,Manager,10.10.10.141,dsAdmin,10.10.10.137,Agentソフトウェアのバージョン9.0.0.4013からバージョン9.5.3.4017へのアップグレードが要求されました。
2015-09-16 14:53:47,情報,720,ポリシー送信,,Agent,10.10.10.137,システム,10.10.10.137,説明を省略
2015-09-16 14:53:46,情報,2800,ソフトウェアアップデート: ソフトウェアの自動ダウンロード完了,,Manager,,システム,10.10.10.137,次のソフトウェアがダウンロードされました: Deep Security KernelSupport 9.5.3-4180 for amzn1-x86_64
2015-09-16 14:53:44,情報,720,ポリシー送信,,Agent,10.10.10.137,システム,10.10.10.137,説明を省略
2015-09-16 14:53:42,情報,151,ソフトウェアの追加,,Manager,KernelSupport-amzn1-9.5.3-4180.x86_64.zip,システム,10.10.10.137,説明を省略
2015-09-16 14:53:40,情報,151,ソフトウェアの追加,,Manager,Agent-amzn1-9.5.3-4017.x86_64.zip,dsAdmin,10.10.10.137,説明を省略

Deep Security Agent (以下、DSA) で、Relay 機能を有効化

DSM on RHEL/CentOSの場合は別途必要なようですが、DSMのWindowsインスタンスにて上記でDSAを9.5へアップデートしたら、「有効化」ボタンもなく、セキュリティアップデートが正常な状態でした。

DSM-Relay-check

詳細は[9.5] Relay機能を有効にするを参照ください。

DSMバージョンアップに伴う停止時の影響について

DSA側に保存されるため、影響ないとのこと。 イベント数が多く、心配な場合は「イベントログの最大サイズおよび保管数」を一時的に増加させておいても良いかもしれません。

Deep Security Manager が停止している場合の Deep Security Agent/Virtual Appliance の挙動について

その他 参考URL

Deep Security 管理者ガイド

Deep Security インストールガイド(基本コンポーネント)

Deep Security インストールガイド(クラウド)

Deep Security Manager の参照先データベースを変更する方法