DSaaSでDSM-DSA間通信をDSAから開始するための設定手順

こんにちは、虎塚です。

Deep Securityを利用する場合、保護対象コンピュータにはDeep Security Agent (以下、DSA) をインストールします。DSAをインストールしたコンピュータでは、Deep Security Manager (以下、DSM) と通信するためのポートを開放する必要があります。

この記事では、まず、Deep Securityが使用する通信ポートをおさらいします。次に、DSAから通信を開始するための設定手順を説明し、DSA側のポートを全開放しないようにする方法を紹介します。

Deep Securityの使用通信ポート

パッケージ版の場合

パッケージ版のDeep Securityを使用する場合、自前で構築したDSMから、DSAの4118番ポートへの通信がおこなわれます。DSAからDSMへは、4119番、4220番、4122番で通信がおこなわれます。

保護対象コンピュータと同じVPC内に、DSMを構築する場合も多いでしょう。その場合、DSM-DSA間はVPCローカルの通信になるため、セキュリティ面での懸念は特にないと思います。

DSaaS版の場合

SaaS版のDeep Security (以下、DSaaS) を使用する場合も、SaaSとして提供されるDSMから、DSAの4118番ポートへの通信がおこなわれます。DSAからDSMへは、パッケージ版と異なり、443番ポートで通信がおこなわれます。

DSMからDSAへの通信を許可するにあたり、問題になることがあるのは、アクセス元のIPアドレス制限です。DSaaSでは、固定されたIPアドレス範囲をユーザに提供していません。そのため、保護対象コンピュータ側で、4118番ポートをすべてのIPアドレスに対して開放する必要があります。4118番ポートを全開放することは、組織のセキュリティポリシーで許容されないケースがあるかと思います。

解決方法

上のようなケースでは、DSM、DSA間の通信をDSA側からだけ開始するように設定します。これによって、DSMから開始されるリクエストを受ける必要がなくなるため、DSA側で4118番ポートを閉塞できます。

以下では、その設定手順を説明します。

DSA側からのみ通信を開始するための設定手順

DSMの管理画面にログインして、［ポリシー］タブを開きます。保護対象サーバに適用しているポリシーを選択し、ダブルクリックします。または、ポリシーを右クリックして、コンテキストメニューの［詳細］を選択します。

ポリシーの詳細画面で、左メニューから［設定］を選択します。

［コンピュータ］タブの［通信方向］にある［Deep Security ManagerとAgent/Applianceの通信方向］のドロップダウンリストから、［Agent/Applianceから開始］を選択します。

以上を実施すれば、DSAをインストールしたコンピュータで4118番ポートを閉じてしまっても、問題ありません。

それでは、また。

• 参考: [DSaaS]Trend Micro Deep Security as a Service の使用通信ポート | サポート Q&A：トレンドマイクロ