組んでみよう、ハイブリッド構成

1.  ハイブリッド構成の概要

この構成では、オンプレミス環境のApex CentralでApex One SaaSサーバを管理することになります。
そのため、オンプレミス環境のApex Centralがインターネットから接続できる必要があります。

ですが、ほとんどの本番環境ではApex Centralはファイアフォールなどのネットワーク設定によりインターネットから直接接続をすることができない様にされており、Apex One SaaSサーバを直接登録して管理することはできないと思います。

このような環境下では、中継用のツールRemote Connection Toolをインストールしたサーバをインターネットから接続可能なDMZ上に配置することで、オンプレミス環境のApex CentralにApex One SaaSサーバを登録し、管理することが可能となります。
※ もちろん、インターネットから直接接続ができるオンプレミス環境のApex Centralがある場合はRemote Connection Toolは不要です。

Remote Connection Toolを中継したネットワーク構成のイメージは次の図のようになります。

▼Remote Connection Tool を用いたネットワークイメージ

※ ハイブリッド構成では、SaaSに用意されているApex Centralを使用しないため図中で×印を付けています。オンプレミス環境のApex CentralでApex One SaaSサーバも一元管理します。

2.  ハイブリッド構成を組むための準備

まずはハイブリッド構成を組むための準備として、前提条件を揃えましょう。
Remote Connection Toolを導入するサーバでは、以下の通信が許可されている必要があります。

★ポイント：ネットワーク機器での通信許可だけでなく、Remote Connection Toolを導入するサーバ上でも上記の通信が遮断されないように設定しましょう。

Remote Connection Toolを導入するサーバはWindows Server 2012、2016、2019などが使用できます。
このブログでは Windows Server 2016に導入する手順をご紹介したいと思います。

また、Apex One SaaS サーバをオンプレミス環境のApex Centralに登録する際に、オンプレミス環境のApex Centralの証明書が必要なため、事前に「TMCM_CA_Cert.pem」ファイルを作業端末などにコピーしておきましょう。

場所：<Apex Central インストールフォルダ>\Certificate\CA
デフォルトだと：C:\Program Files (x86)\Trend Micro\Control Manager\Certificate\CA

各種設定ではXMLファイルの編集が主になります。
そのため、XMLファイルの編集できるアプリケーションを導入しておくと便利です。

3.  Remote Connection Toolの導入と設定

ここでは、直接通信できないオンプレミス環境のApex CentralとApex One SaaSサーバの中継として、Remote Connection Toolを導入して設定します。
この手順では、『Remote Connection Toolを導入するサーバ』と『オンプレミス環境の Apex Central』での作業が必要になります。
混同しないように、それぞれの作業場所を記載します。

1) Remote Connection Toolのダウンロード

Remote Connection Toolを導入するサーバで、Remote Connection Toolをダウンロードします。
ダウンロードリンクは下記 Q&A ページの Step2 部分にあります。

■Trend Micro Apex One as a Service とオンプレミスのControl Manager/Apex Centralのリモート接続設定方法
https://success.trendmicro.com/jp/solution/000238696#collapseTwo

ダウンロードしたzipファイルを展開すると、3つのフォルダがあります。

2) 認証証明書の作成

次はオンプレミス環境のApex Centralが導入されたサーバでの作業になります。

ダウンロードしたRemote Connection Toolの3つのフォルダのうち、Cert signing scriptフォルダにあるTMCM_SignCert.batファイルを、オンプレミス環境のApex Centralの次のフォルダにコピーします。

場所：<Apex Central インストールフォルダ>\Certificate\CA
デフォルトだと：C:\Program Files (x86)\Trend Micro\Control Manager\Certificate

コマンドプロンプトを起動し、TMCM_SignCert.batファイルをコピーしたフォルダまで移動し、TMCM_SignCert.batを次のように実行します。

> TMCM_SignCert.bat　<"Remote Connection Toolを導入するサーバのIPアドレス、ホスト名、FQDNのいずれか">

実行すると次のようになります。

完了すると、Certificate\SignedCertフォルダに証明書関連のファイルが生成されます。

3) Remote Connection Toolのインストール

次はRemote Connection Toolを導入するサーバでの作業になります。

まず、Remote Connection Toolのインストールフォルダを作成します。
インストールフォルダは次の場所に作成します。
場所：C:\Program Files (x86)\Trend Micro\Smart Relay

次に、作成したSmart Relayフォルダに『1) Remote Connection Toolのダウンロード』手順で展開したフォルダのうち、RemoteConnectionToolフォルダの中身をすべてコピーします。

コピーしたファイルのうち、install.batを実行します。

バッチファイルの実行が完了すると、Windows のサービス一覧にSmartRelayが追加されます。

★注意：ここではまだSmartRelayサービスを開始しないでください。

4) 認証証明書のインストール

次もRemote Connection Toolを導入するサーバでの作業になります。

『2) 認証証明書の作成』手順で生成されたファイルのうち、WebServer_Cert.p12ファイルをRemote Connection Toolを導入するサーバの任意の場所にコピーします。
次に、Remote Connection Toolを導入するサーバでMMC(Microsoft 管理コンソール)を起動して、[ファイル(F)] >[スナップインの追加と削除]を選びます。

スナップインの追加と削除から[証明書]を追加します。

追加されたスナップイン[証明書]から[個人] > [証明書]を開いて右クリックして[すべてのタスク] > [インポート]を選択します。

インポートする証明書ファイルとしてWebServer_Cert.p12ファイルを指定し、ウィザードを進めます。
途中にパスワードを聞かれますが、設定されていないため空欄のまま進めてください。

無事インポートが完了すると、証明書の一覧に発行者『Trend Micro internel CA』の証明書が追加されます。

5) SmartRelay サービスの設定と起動

次もRemote Connection Toolを導入するサーバでの作業になります。

『3) Remote Connection Toolのインストール』で作成したSmart Relayフォルダにあるapricot_config.xmlファイルを開き、次の2か所を編集します。

1. <cert_cn>タグ
証明書作成の時に指定したRemote Connection Tool を導入するサーバの IPアドレス、ホスト名、FQDNのいずれかを記載します。

2. <uplink_server>タグ
オンプレミス環境のApex CentralのIPアドレス、ホスト名、FQDNのいずれかを記載します。

編集が終わったらapricot_config.xmlファイルを保存します。
★ポイント：4433ポートが他の製品で使用されているなどで使用できない場合、apricot_config.xmlファイルのserver_https_portで任意のポートに変更できます。

次にコマンドプロンプトを起動して、SmartRelayサービスを起動します。

OS再起動後も自動でSmartRelayサービスが起動するように、Windows サービスから「スタートアップ種類」を「自動」に変更しましょう。

これでRemote Connection Toolのセットアップは完了です。

4. オンプレミス環境のApex Centralの設定

次に、オンプレミス環境のApex CentralにRemote Connection Toolの情報を追記し、Remote Connection Toolを導入したサーバと連携できるように設定します。

まず、オンプレミス環境のApex Centralにログインし、Apex Centralインストールフォルダ配下にあるSystemConfiguration.xmlを開きます。
デフォルトだと次の場所にあります。
場所：C:\Program Files (x86)\Trend Micro\Control Manager

m_SaaSReverseProxyAddressタグに、Remote Connection Toolを導入したサーバのIPアドレス、ホスト名、FQDNのいずれかを追記します。
また、m_SaaSReverseProxyPortタグに、待ち受けポートである4433(デフォルトの場合)を追記します。

編集が終わったらSystemConfiguration.xmlファイルを保存します。
設定を反映させるため、Trend Micro Apex Central Serviceを再起動しましょう。

5. オンプレミス環境のApex CentralにApex One SaaSサーバを登録

ここまでの手順でオンプレミス環境のApex CentralにApex One SaaSサーバを登録する準備が整いました。
いよいよApex One SaaSサーバをオンプレミス環境のApex Centralに登録します。

まず、Apex Central SaaS の管理コンソールにログインし、[ディレクトリ]→[製品サーバ]と辿り、Apex One SaaS サーバの URL をクリックして Apex One SaaS の管理コンソールにログインします。
次にApex One SaaS の管理コンソールより、[管理]→[設定]→[Apex Central]と辿り、Apex Central設定画面にて「別のApex Centralサーバに登録する」をクリックします。

Apex Centralの接続設定では、次のように設定します。
●サーバFQDN/IPアドレス：Remote Connection Tool を導入するサーバの IPアドレス、ホスト名、FQDNのいずれか
●ポート(HTTPS)：4433(デフォルトの場合)
●Apex Central証明書：『2.  ハイブリッド構成を組むための準備』手順でコピーしたTMCM_CA_Cert.pem
●IIS Webサーバ認証：
・ユーザ名：オンプレミス環境のApex Central管理コンソールにログインするユーザ
・パスワード：オンプレミス環境のApex Central管理コンソールにログインするユーザのパスワード
●エンティティ表示名：オンプレミス環境のApex Centralで表示されるエンティティの名前

接続をクリックすると、接続が開始されます。

正常に接続され、登録されます。

オンプレミス環境のApex Centralの管理コンソールにログインすると、Apex One SaaSサーバが登録されています。

一方、Apex Central SaaSの管理コンソールにログインすると、Apex One SaaSの登録が解除されていることがわかります。

このあとに、Apex One (Mac) as a Serviceについても移行します。
まず、Apex One (Mac) as a Serviceを登録解除する前に、上記画面で出ているサーバ列に表示されるURL(https://xxx.manage.trendmicro.com)を必ず控えておきましょう。
URLを控えたら、上記画面に表示されているApex One (Mac) as a Serviceの処理列にある「ごみ箱アイコン」をクリックしてSaaSからの登録を解除します。

次にApex One SaaSサーバの管理コンソールにログインし、「管理」→「アカウント管理」→「ユーザアカウント」から管理者権限を持つユーザを作成します。

次にオンプレミス環境のApex Centralにログインし、「運用管理」→「管理下のサーバ」→「サーバの登録」と辿り、サーバの種類で[Apex One (Mac)]を選択して[追加]を実行します。

ここで、先ほど控えておいたURL(https://xxx.manage.trendmicro.com)と、作成したユーザ情報を入力して保存を押下すると、Apex One(Mac) as a Serviceが登録されます。

6. まとめ

この記事ではオンプレミス環境とSaaS環境を連結するハイブリッド構成について、実際に構成する際の手順や注意事項などのご紹介をさせて頂きました。
Remote Connection Toolのダウンロード元およびこちらの手順については、下記の製品Q&Aページにも記載されていますので、併せてご参照ください。

■Trend Micro Apex One™ as a Service とオンプレミスのControl Manager/Apex Centralのリモート接続設定方法
https://success.trendmicro.com/jp/solution/000238696

また、今回実際に構成してみたハイブリッド構成を含め、オンプレミス環境からSaaS環境への移行や新規導入について役立つ情報として導入・移行ガイドを用意しています。
こちらもご一読頂けますと幸いです。

■Trend Micro Apex One SaaS 導入・移行ガイド
https://success.trendmicro.com/jp/solution/000290540

なお、今回こちらの記事ではApex One SaaS体験版を用いてハイブリッド構成を組んでいます。
Apex One SaaSへの移行や新規導入をご検討の方は、是非体験版をご利用ください。
Apex One SaaS体験版の利用開始方法につきましては、下記の製品Q&Aページをご参照ください。

■Trend Micro ApexOne™ as a Service 無料体験版の利用開始方法について
https://success.trendmicro.com/jp/solution/000291352

最後まで読んで頂きありがとうございました！
次回もあまり知られていないけど実は便利な機能や情報をゆるーくご紹介していきますので、ぜひご覧ください！