Amazon Linux 2にAWS MarketplaceのTrend Micro Cloud One Workload Securityを導入する
AWSで稼働しているEC2インスタンスにTrend Micro Cloud One – Workload Security™(旧Trend Micro Deep Security as a Service™)を導入しました。いろいろなセキュリティ製品がありますが、クラウドサーバー上のセキュリティ製品としてわりと広く利用されている印象があります。
料金とライセンス
AWS Marketplaceに記載のある通り、かなり安価な印象です(2020年7月現在)
・Any Micro, Small or Medium EC2 instance types $0.01 / host / hour
・Any Large EC2 instance types $0.03 / host / hour
・Any Xlarge or larger EC2 instance types $0.06 / host / hour
毎月の利用料金はAWS利用料に加算されてAWS側から請求されます
請求および価格設定について
・Any Micro, Small or Medium EC2 instance types $0.01 / host / hour
・Any Large EC2 instance types $0.03 / host / hour
・Any Xlarge or larger EC2 instance types $0.06 / host / hour
毎月の利用料金はAWS利用料に加算されてAWS側から請求されます
請求および価格設定について
導入 管理サーバー側の設定
AWS MarketplaceからWorkload Securityを有効化します。
続いて、Trend Micro Cloud One側のアカウント作成を促されるため、アカウントを作成します。Workload Securityの利用状況はCloud One側の管理画面で確認します。
続いてAWSアカウントとCloud Oneを連携します。IAMで以下のポリシーを作成します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "cloudconnector",
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeVpcs",
"iam:ListAccountAliases",
"sts:AssumeRole"
],
"Resource": [
"*"
]
}
]
}
上記のポリシーをIAMアカウントにアタッチした後、Cloud One側の管理画面で、コンピュータ→追加→AWSアカウントの追加と進んだあと、AWSアクセスキーを登録します
これで、AWSアカウントとCloud Oneが連携されてCloud One側のコンソールにAWSに存在するインスタンスのリストが一覧表示されます。
この時点では、ステータスがすべて「非管理対象」と管理対象外になっているため、利用料金は発生しません。
この時点では、ステータスがすべて「非管理対象」と管理対象外になっているため、利用料金は発生しません。
導入 管理エージェント側の設定
サーバー側の設定は完了したので、EC2にエージェント(クライアントソフトウェア)を導入します。
導入方法はいくつかあります(マニュアル参照)が、今回はインストールスクリプトを利用しました。
サポート情報→インストールスクリプト と進みます。
導入方法はいくつかあります(マニュアル参照)が、今回はインストールスクリプトを利用しました。
サポート情報→インストールスクリプト と進みます。
プラットフォームといくつかの選択肢を設定します。ポリシーは設定しておくとエージェントインストール時に自動的に設定してくれるため、Base Policyを選択します。
画面下部にあるスクリプトをサーバーで実行します。
.shファイルを作成して実行権限を追加(chmod +x xxxx.sh)したあと、実行しました。
.shファイルを作成して実行権限を追加(chmod +x xxxx.sh)したあと、実行しました。
インストールが完了すると、対象のインスタンスが「管理対象」になります。
Cloud One側で必要な対策をオンにしましょう
ここまでで、導入完了です
その他の情報
Agentの有効化
https://cloudone.trendmicro.com/docs/jp/workload-security/agent-activate/
セキュリティグループの設定
https://cloudone.trendmicro.com/docs/jp/workload-security/communication-ports-urls-ip/
