Deep Security10の紹介 ~PART2~

公開日
2017年4月24日

この記事の内容は公開されてから1年以上が経過しております。
情報が古い可能性がありますので、ご注意ください。

みなさん、こんにちは!AWSアライアンス テクニカル担当の姜(かん)です。

前回に引き続き、Deep Security10の新機能、特にAWSユーザの皆さまが興味ありそうなところを紹介させて頂きますので、どうぞ宜しくお願い致します。

Deep Security10で追加された新機能や機能改善の一部としては、
1. Application Control(ホワイト/ブラックリスト型)
2. スマートフォルダ
3. Amazon SNS対応
4. Baked AMI
5. Proxy Support for DSaaS
6. Docker対応
7. SAP連携 for Windows
などがあります。

今回はSmart Folders、AWS SNS対応、Baked AMIをご紹介させて頂きます。

【Deep Security10のSmart Foldersとは?】

Deep Securityの管理コンソール(Deep Security Manager)に表示されるサーバ群を動的にグルーピング、管理する事が可能となりました。
グルーピングの属性にはEC2 タグも利用出来ますので、タグをベースとした動的なグルーピングも可能となります。
また、Deep Security Managerは様々なクラウドサービスやVMware社のvCenterとも連携可能となりますので、MSPをご提供されている事業者様、マルチクラウドやオンプレミスとのハイブリッド環境をご利用しているユーザ様においてもサーバ運用管理の効率化が図れるかと思います。

【Amazon SNS対応とは?】

AWSをご利用ユーザやパートナー様に紹介すると意外にも「嬉しい!」と反応頂けるのが、Deep SecurityのAmazon SNS対応となります。
Deep SecurityのイベントがJSON形式でAmazon SNSへ転送可能となりました。

  • 例えば、セキュリティ監査のためにイベントの通知方法(経路)をいくつか用意する必要がある場合には、Deep Securityからメールで通知する以外にも、SNS対応していればわざわざSyslogを構築する必要がなく、Deep SecurityとAWSのマネージドサービスで完結するので嬉しい。
    「Deep Security」→「SNS」→「Lambda」→「Slack」で通知など。
  • セキュリティオートメーションの実現。 Deep Securityで検出した脅威をトリガーとして、 「Deep Security」→「SNS」→「Lambda」→「AWSの各種サービス」という感じで各種アクションの自動化がより実現しやすくなります。
    例)不正プログラムを検出したEC2を自動隔離するなど。

実はこの機能、Deep Security as a Service(Deep Security Managerをトレンドマイクロが管理・運用するSaaS型Deep Security)には以前から搭載されていたのですが、Deep Security10になりパッケージ版にも搭載されるようになりました。皆様、是非ご活用下さい!

【Baked AMI対応とは?】

こちらは、EC2にDeep Security Agentや必要な機能を組み込み、且つDeep Security Agentを有効化した状態でAMIを作成したものとなります。
今まではDeep Security Agentを有効化した状態でAMIを作成してしまうと正常に稼働しない場合がありましたが、下記赤枠にある2つのチェックボックスをONにする事で有効化した状態のAMIからでも問題なくDeep Security Agentが稼働します。 この機能におけるメリットは下記となります。

1.Deep Security Agentのインストールスクリプトを用意する必要がない。
AMIを作成される場合、OS毎にインストールスクリプトを用意してそこからDeep Security AgentのインストールやPolicy適用、各種セキュリティモジュールの配信などを行っておりましたが、このOS毎のインストールスクリプトを用意して頂く必要はなくなりました。
2.Deep Securityで保護するタイムラグを最小化。
Deep Security Agentをインストールする手法は様々ありますが、よく使われる手法として下記があります。
DSが提供するインストールスクリプトを利用。
スクリプトをUserdataなどに設定し、EC2起動時にDeep Security AgentをDownload、インストールしPolicyを適用させる方法。

この場合、Deep Security AgentをダウンロードしてからPolicyが適用されるまでの期間はDeep Security Agentで保護出来ない状態が続いております。このタイムラグはどうにかして欲しいというお問い合わせをこれまでも結構頂いておりました。
これを解消する策の一つとして、「Baked AMI」を利用する事でEC2(Deep Security Agent)が起動したタイミングでDeep Security Agent→Deep Security Managerへ有効化処理が走り、EC2(Deep Security Agent)が即座に有効化されます。
また、下記のようにイベントベースタスクを「Agentの有効化」で作成し適切な「処理」と「条件」を選んで頂くと、EC2のタグ情報をもとにDeep SecurityのPolicyが自動的に割り当てられ、Deep Security Agentの有効化からPolicyの適用までを最小のタイムラグで自動的に行う事が可能となります。
「インストールスクリプト」も「Baked AMI」もメリット・デメリットがありますので、お客様の環境や運用にあった方法をご検討頂ければと思います。

この機能自体はDeep Securityのバージョン9.6から利用可能でしたが、「Baked AMI」として正式にアナウンスされたのがDeep Security10からなので今回ご紹介をさせて頂きました。

次回は、「5」以降の新機能を説明させて頂きます。

パートナービジネスSE部 AWSアライアンス テクニカル担当 姜 貴日

公開日
2017年4月24日

みなさん、こんにちは!AWSアライアンス テクニカル担当の姜(かん)です。

前回に引き続き、Deep Security10の新機能、特にAWSユーザの皆さまが興味ありそうなところを紹介させて頂きますので、どうぞ宜しくお願い致します。

Deep Security10で追加された新機能や機能改善の一部としては、
1. Application Control(ホワイト/ブラックリスト型)
2. スマートフォルダ
3. Amazon SNS対応
4. Baked AMI
5. Proxy Support for DSaaS
6. Docker対応
7. SAP連携 for Windows
などがあります。

今回はSmart Folders、AWS SNS対応、Baked AMIをご紹介させて頂きます。

【Deep Security10のSmart Foldersとは?】

Deep Securityの管理コンソール(Deep Security Manager)に表示されるサーバ群を動的にグルーピング、管理する事が可能となりました。
グルーピングの属性にはEC2 タグも利用出来ますので、タグをベースとした動的なグルーピングも可能となります。
また、Deep Security Managerは様々なクラウドサービスやVMware社のvCenterとも連携可能となりますので、MSPをご提供されている事業者様、マルチクラウドやオンプレミスとのハイブリッド環境をご利用しているユーザ様においてもサーバ運用管理の効率化が図れるかと思います。

【Amazon SNS対応とは?】

AWSをご利用ユーザやパートナー様に紹介すると意外にも「嬉しい!」と反応頂けるのが、Deep SecurityのAmazon SNS対応となります。
Deep SecurityのイベントがJSON形式でAmazon SNSへ転送可能となりました。

  • 例えば、セキュリティ監査のためにイベントの通知方法(経路)をいくつか用意する必要がある場合には、Deep Securityからメールで通知する以外にも、SNS対応していればわざわざSyslogを構築する必要がなく、Deep SecurityとAWSのマネージドサービスで完結するので嬉しい。
    「Deep Security」→「SNS」→「Lambda」→「Slack」で通知など。
  • セキュリティオートメーションの実現。 Deep Securityで検出した脅威をトリガーとして、 「Deep Security」→「SNS」→「Lambda」→「AWSの各種サービス」という感じで各種アクションの自動化がより実現しやすくなります。
    例)不正プログラムを検出したEC2を自動隔離するなど。

実はこの機能、Deep Security as a Service(Deep Security Managerをトレンドマイクロが管理・運用するSaaS型Deep Security)には以前から搭載されていたのですが、Deep Security10になりパッケージ版にも搭載されるようになりました。皆様、是非ご活用下さい!

【Baked AMI対応とは?】

こちらは、EC2にDeep Security Agentや必要な機能を組み込み、且つDeep Security Agentを有効化した状態でAMIを作成したものとなります。
今まではDeep Security Agentを有効化した状態でAMIを作成してしまうと正常に稼働しない場合がありましたが、下記赤枠にある2つのチェックボックスをONにする事で有効化した状態のAMIからでも問題なくDeep Security Agentが稼働します。 この機能におけるメリットは下記となります。

1.Deep Security Agentのインストールスクリプトを用意する必要がない。
AMIを作成される場合、OS毎にインストールスクリプトを用意してそこからDeep Security AgentのインストールやPolicy適用、各種セキュリティモジュールの配信などを行っておりましたが、このOS毎のインストールスクリプトを用意して頂く必要はなくなりました。
2.Deep Securityで保護するタイムラグを最小化。
Deep Security Agentをインストールする手法は様々ありますが、よく使われる手法として下記があります。
DSが提供するインストールスクリプトを利用。
スクリプトをUserdataなどに設定し、EC2起動時にDeep Security AgentをDownload、インストールしPolicyを適用させる方法。

この場合、Deep Security AgentをダウンロードしてからPolicyが適用されるまでの期間はDeep Security Agentで保護出来ない状態が続いております。このタイムラグはどうにかして欲しいというお問い合わせをこれまでも結構頂いておりました。
これを解消する策の一つとして、「Baked AMI」を利用する事でEC2(Deep Security Agent)が起動したタイミングでDeep Security Agent→Deep Security Managerへ有効化処理が走り、EC2(Deep Security Agent)が即座に有効化されます。
また、下記のようにイベントベースタスクを「Agentの有効化」で作成し適切な「処理」と「条件」を選んで頂くと、EC2のタグ情報をもとにDeep SecurityのPolicyが自動的に割り当てられ、Deep Security Agentの有効化からPolicyの適用までを最小のタイムラグで自動的に行う事が可能となります。
「インストールスクリプト」も「Baked AMI」もメリット・デメリットがありますので、お客様の環境や運用にあった方法をご検討頂ければと思います。

この機能自体はDeep Securityのバージョン9.6から利用可能でしたが、「Baked AMI」として正式にアナウンスされたのがDeep Security10からなので今回ご紹介をさせて頂きました。

次回は、「5」以降の新機能を説明させて頂きます。

パートナービジネスSE部 AWSアライアンス テクニカル担当 姜 貴日

お問い合わせ窓口一覧

メールでのお問い合わせ
aws@trendmicro.co.jp

Copyright © 2019 Trend Micro Incorporated. All rights reserved.