Deep Security10の紹介 ~PART3~

公開日
2017年6月6日

この記事の内容は公開されてから1年以上が経過しております。
情報が古い可能性がありますので、ご注意ください。

みなさん、こんにちは!AWSアライアンス テクニカル担当の姜(かん)です。

前回に引き続き、Deep Security10の新機能、特にAWSユーザの皆さまが興味ありそうなところを紹介させて頂きますので、どうぞ宜しくお願い致します。

Deep Security10で追加された新機能や機能改善の一部としては、

1. Application Control(ホワイト/ブラックリスト型)
2. スマートフォルダ
3. Amazon SNS対応
4. Baked AMI
↓↓↓今回の内容はここから↓↓↓
5. Proxy Support for DSaaS
6. Docker対応
7. SAP連携 for Windows
などがあります。

今回はProxy Support for DSaaS、Docker 対応、SAP連携 for Windowsをご紹介させて頂きます。

【Proxy Support for DSaaSとは?】

※名前が紛らわしいですが、DSaaSに特化した機能ではないです。

何が出来るようになったのか?

  • Proxy越しのDeep Security Agent(DSA)→Deep Security Relay(DSR)接続が可能となりました。

DSaaSをご利用頂く場合、DSAがDSMと通信する必要があり、その場合「OutboundのAny:443ポート」を許可して頂くか、特定のFQDNへの通信を許可して頂く必要があります。
※詳細は【Deep Security as a Service (DSaaS)よくあるご質問】を参照ください。
http://esupport.trendmicro.com/solution/ja-JP/1112636.aspx?print=true

AWS環境の場合(クラウド全般かもしれませんが)、Security Groupを利用したURLベースでのOutbound通信は制御出来ませんし、「OutboundのAny:443ポート」を許可するのはセキュリティの観点からもあまり望ましくない場合もあります。
そういった場合、URLベースでのOutbound通信を制御する目的でProxyを導入されているお客様は多いかと思います。

ただし、DS9.6以前はDSAがProxy配下にいる場合、DSAの一部機能は利用出来ません(※)でした。

※詳細は【Deep Security AgentがRelayへ直接接続できない環境での問題点について】の【問題の概要】を参照ください。
http://esupport.trendmicro.com/solution/ja-jp/1110288.aspx

通常、DSAがSoftware Update等を行う際、DSA→DSRの通信が走り、DSRからSoftwareのUpdateをダウンロードします。
但し、DSAとDSRの間にProxyが存在する場合、Proxy越しのDSR接続には対応しておらず、Proxyを経由しない方法をとる必要がありました。
回避策として、下図のようにProxyとDSA間にDSR(Internal Relay)の作成をご案内しておりましたが、お客様によっては何でわざわざDSRをたててコストや管理工数増やす必要があるの? とご指摘を頂いた事もありました。

DS10からはProxy跨ぎのDSR通信が可能となり、下記のようにDSMへ通信する場合、DSRへ通信する場合、それぞれでProxyを選択する事が可能となりました。

設定方法はdsa_controlコマンドを利用します。Proxy用のオプションが追加されましたので、DSAをデプロイする際にUser dataなどに記載して頂ければと思います。
dsa_control -y relay_proxy://ProxyIPADDRESS:443

※詳細は【Deep Security Manager / Relay へ接続するためのプロキシを設定する方法】を参照ください。
http://esupport.trendmicro.com/solution/ja-jp/1116970.aspx

DSaaSを利用されているお客様の場合、DSaaS側でDSRが提供されているのに関わらず、この制限のために自分でDSRを用意する必要がありましたが、この設定を行って頂く事でそれを回避する事が可能となります。

ただし環境によってはメリットデメリットがありますので、そこを考慮した上で利用の判断をして頂ければと思います。

メリット

Proxy毎にDSR用インスタンスを準備する必要がなくなりますので、費用と運用管理面でメリットがでてくるかと思います。

デメリット

Proxy配下にあるDSAからDSRに対してパターンアップデートやSoftware Updateが走りますのでDSAの台数によってはNW帯域や通信コストを考慮する必要があります。

【Docker対応とは?】

コンテナ仮想化技術の1つであるDockerのHost OSでの動作をサポートしております。
DSAがDocker Daemonを検出し、DSMで一括管理する事でDSAが保護出来ていないContainerの存在を防ぎます。

現状のDS10でContainerに対して提供可能な機能は下記となります。

1

  • DSAはiptablesを無効化しますので、Docker Hostを利用する際はDSAインストール前にiptablesを無効化させないオプションを実行する必要があります。
    http://esupport.trendmicro.com/solution/ja-jp/1112382.aspx
  • Docker Containerへの推奨検索の設定は実行できません。
  • 仮想パッチはDocker Container内部ではなくホストOS側でパケットを処理します。IncomingトラフィックについてはiptablesでDNATされる前のパケットが処理されますので、ご利用される環境によってはDSの「Port Lists」設定を変更する可能性がございます。

 

最近多くお問い合わせ頂くのが、Amazon ECSへの対応に関してのご質問となります。
Amazon ECS上でも勿論問題なく稼働します。
構成の一例ですが、弊社でも下記のような構成にてContainer上でDSAが稼働している事を確認しておりますので、ECS環境をご検討、ご利用の皆様、是非Deep Securityをご活用頂ければと思います。

DSA on ContainerのArchitectureに関しては下記リンクを参照頂ければと思います。
記事自体はDS9.6を前提としているので多少の変更はありますが、基本的なArchitectureに違いはございません。

Dockerホスト上でDeep Security Agentを使ってみる①
Dockerホスト上でDeep Security Agentを使ってみる②

【SAP連携 for Windowsとは?】

こちらの機能、DS9.6ではLinuxに対応しておりましたがDS10からはWindowsにも対応開始となりました。

機能概要
SAP社には不正プログラムのような脅威を防ぐ仕組みは勿論用意されておりません。但し、セキュリティベンダー製品と連携出来るようなNW-VSI※というAPIを用意しており、システムに不正プログラムが届く前にセキュリティベンダー製品と連携し、検知/ブロックする仕組みを実装する事が可能となります。
ただし、NW-VSIを利用する場合はSAP社がオフィシャルに認定したセキュリティベンダー製品を使用する必要があります。(SAP Note:786179)
※NW-VSI(Netweaver Virus Scan Interface)はNetweaver⇔3rdPartyウィルス製品間でファイルの受け渡しを行う為に提供されているAPI。 NW-VSI自身はアンチウィルスエンジンは実装しておりません。

SAP連携に関しては下記サイトをご参照下さい。
https://help.deepsecurity.trendmicro.com/ja-jp/Protection-Modules/Scanner/sap-integration.html

DSはSAP社が提供しているNetweaverと連携する事が可能なので、WindowsやLinuxシステムに迫る脅威に対しても有効な対策手段の一つとなり得るでしょう。

DS10の新機能を全3回に渡りご紹介させて頂きましたが、いかがでしたでしょうか?
ご紹介させて頂いた機能以外にもまだ幾つか新機能はございますが、AWSユーザの皆様が興味ありそうな箇所にフォーカスしご紹介をさせて頂きました。
このBlogが皆様のDSを触るきっかけになれば幸いです。

パートナービジネスSE部 AWSアライアンス テクニカル担当 姜 貴日

お問い合わせ窓口一覧

メールでのお問い合わせ
aws@trendmicro.co.jp

Copyright © 2019 Trend Micro Incorporated. All rights reserved.