クラウドアカウント

Vulnerability ProtectionDeep Securityでは、次のクラウドプロバイダサービスのコンピューティングリソースをAgentベースで保護できます。

Amazon EC2
VMware vCloud
Microsoft Azure

クラウドプロバイダのアカウントからVulnerability ProtectionDeep Security Managerにリソースをインポートすると、アカウント内のコンピュータをローカルネットワーク内の他のコンピュータと同じように管理できます。

クラウドのリソースをVulnerability ProtectionDeep Security Managerにインポートするためには、最初に、Vulnerability ProtectionDeep Securityユーザがクラウドプロバイダサービスのリソースにアクセスするためのアカウントが必要です。さらにトレンドマイクロでは、Vulnerability ProtectionDeep Security Managerにクラウドアカウントをインポートする各Vulnerability ProtectionDeep Securityユーザに対して、Vulnerability ProtectionDeep Security Managerがクラウドリソースにアクセスするための専用アカウントを作成することを推奨します。つまり、ユーザは、仮想マシンへのアクセスと制御に使用するアカウントと、それとは別にVulnerability ProtectionDeep Security Managerからそれらのリソースに接続するためのアカウントを所有する必要があります。

Vulnerability ProtectionDeep Security専用のアカウントがあると、いつでも権限を詳細に設定したり、このアカウントを無効にしたりできます。Vulnerability ProtectionDeep Securityでは、常に、読み取り専用のアクセスキーと秘密鍵を使用することを推奨します。

Vulnerability ProtectionDeep Security Managerがクラウドのリソースをインポートし、セキュリティを管理するには、読み取り専用アクセスで十分です。

クラウドアカウント用のプロキシ設定

クラウドアカウントで保護されているインスタンスへの接続にプロキシサーバを使用するよう、Deep Security Managerを設定できます。プロキシ設定は、[管理]→[システム設定]→[プロキシ]→[プロキシサーバの使用]→[Deep Security Manager (クラウドアカウント - HTTPプロトコルのみ)] で行います。

Manager用のAmazon Web Servicesアカウントを作成する

Vulnerability ProtectionDeep Security Manager用のAmazon Web Servicesアカウントを作成するには

AWS Management Consoleにログインします。
IAM (Identity and Access Management) に移動します。
左側のナビゲーションペインで [Users] をクリックします。
[Create New Users] をクリックして、[Create User] 画面を開きます。
ユーザ名を入力し、[Generate an access key for each User] オプションを選択します。
生成されたユーザのセキュリティ資格情報 (アクセスキーと秘密鍵) を書き留め、画面を閉じます。
[Users] 画面に戻り、ユーザを選択して、画面の下部にある [Permissions] タブをクリックします。
[Attach User Policy] をクリックすると、[Manage User Permissions] 画面が表示されます。
[Policy Generator] オプションを選択します。
新しいユーザに付与する権限を編集するには、[Select] ボタンをクリックします。
[Effect: Allow] を選択します。
[AWS Service: Amazon EC2] を選択します。
[Actions] として次を選択します。
- DescribeImages
- DescribeInstances
- DescribeTags
[Amazon Resource Name] を「*」を設定します。
[Add Statement] をクリックします。
[Continue] をクリックして権限のポリシーを生成します。
[Apply Policy] をクリックして、ポリシーをユーザアカウントに適用します。

これで、Vulnerability ProtectionDeep Security ManagerからAmazon Web Servicesアカウントにアクセスする準備は完了です。

Amazon AWSのリソースをVulnerability ProtectionDeep Security Managerにインポートする際、リソースがホストされているリージョン、アクセスキーID、および秘密アクセスキーの入力を求められます。リソースが複数のリージョンにホストされている場合、リージョンごとに個別にリソースを追加する必要があります。

Amazon Web Servicesアカウントからコンピュータをインポートする

Amazon Web Servicesのクラウドリソースからインポートするには

Vulnerability ProtectionDeep Security Managerで、[コンピュータ] 画面に移動し、ナビゲーションパネルで [コンピュータ] を右クリックし、[クラウドアカウントの追加] を選択してクラウドプロバイダ追加ウィザードを開きます。
クラウドプロバイダの種類に [Amazon] を選択します。
クラウドリソースがホストされているリージョンを選択します (リソースが複数のリージョンにホストされている場合、リージョンごとに個別にリソースを追加する必要があります)。
追加するリソースの名前と説明を入力します (これらの情報は、Vulnerability ProtectionDeep Security Managerでの表示に使用されます)。
AWSの管理者から提供されたアクセスキーIDと秘密アクセスキーを入力します。[次へ] をクリックします。
Vulnerability ProtectionDeep Security Managerによってクラウドリソースへの接続が確認され、インポート処理の概要が表示されます。[完了] をクリックします。
クラウドプロバイダのリソースのインポート終了後、ウィザードに処理結果が表示されます。

Amazon AWSのリソースが、Vulnerability ProtectionDeep Security Managerのナビゲーションパネル内の [コンピュータ] の下に、それぞれ別個の項目として表示されます。

クラウドリソースをホストしているAmazonリージョンがリストに表示されない場合は、Vulnerability ProtectionDeep Security Managerにリージョンを追加する必要があります。詳細については、「Amazon Web Servicesのリージョンを管理する」を参照してください。

Manager用のVMware vCloud Organizationアカウントを作成する

Vulnerability ProtectionDeep Security Manager用のVMware vCloud Organizationアカウントを作成するには

VMware vCloud Directorにログインします。
[System] タブで、[Manage And Monitor] に移動します。
左側のナビゲーションペインで [Organizations] をクリックします。
Vulnerability ProtectionDeep Securityのユーザにアクセス権を付与する組織をダブルクリックします。
[Organizations] タブで [Administration] をクリックします。
左側のナビゲーションペインで [Members]→[Users] の順にクリックします。
新しいユーザを作成するには、「プラス」記号 (＋) をクリックします。
ユーザの資格情報などの必要な情報を入力し、ユーザの [Role] で [Organization Administrator] を選択します。
[Organization Administrator] は、新しいユーザアカウントに割り当て可能な、定義済みのシンプルなロールです。ただし、アカウントに必要な権限は [All Rights]→[General]→[Administrator View] のみなので、この権限のみを付与した新しいvCloudロールの作成を検討してください。Vulnerability ProtectionDeep SecurityでvCloudのリソースを使用する方法の詳細については、インストールガイドを参照してください。
[OK] をクリックしてユーザのプロパティ画面を閉じます。

これで、Vulnerability ProtectionDeep Security ManagerからvCloudアカウントにアクセスする準備は完了です。

VMware vCloudのリソースをVulnerability ProtectionDeep Security Managerにインポートする際、vCloudのアドレス、ユーザ名、およびパスワードの入力を求められます。

ユーザ名には「@orgName」を含める必要があります。たとえば、vCloudアカウントのユーザ名がkevinで、アカウントのアクセス権を付与されたvCloud OrganizationがCloudOrgOneである場合、Vulnerability ProtectionDeep Securityのユーザは、vCloudのリソースをインポートするときにユーザ名として「kevin@CloudOrgOne」と入力する必要があります

(vCloud管理者の場合、@systemを使用します)。

VMware vCloud Organizationアカウントからコンピュータをインポートする

VMware vCloud Organizationのリソースをインポートするには

Vulnerability ProtectionDeep Security Managerで、[コンピュータ] 画面に移動し、ナビゲーションパネルで [コンピュータ] を右クリックし、[クラウドアカウントの追加] を選択してクラウドプロバイダ追加ウィザードを開きます。
クラウドプロバイダの種類に [vCloud] を選択します。
追加するリソースの名前と説明を入力します (これらの情報は、Vulnerability ProtectionDeep Security Managerでの表示に使用されます)。
vCloudのアドレスを入力します (vCloud Directorホストコンピュータのホスト名)。
ユーザ名とパスワードを入力します。
ユーザ名は、username@vcloudorganizationの形式にします。
[次へ] をクリックします。
Vulnerability ProtectionDeep Security Managerによってクラウドリソースへの接続が確認され、インポート処理の概要が表示されます。[完了] をクリックします。

VMware vCloudのリソースが、Vulnerability ProtectionDeep Security Managerの [コンピュータ] 画面に、それぞれ別個の項目として表示されます。

VMware vCloud Airデータセンターからコンピュータをインポートする

VMware vCloud Airデータセンターをインポートするには

Vulnerability ProtectionDeep Security Managerで、[コンピュータ] 画面に移動し、ナビゲーションパネルで [コンピュータ] を右クリックし、[クラウドアカウントの追加] を選択してクラウドプロバイダ追加ウィザードを開きます。
クラウドプロバイダの種類に [vCloud] を選択します。
追加するvCloud Airデータセンターの名前と説明を入力します (これらの情報は、Vulnerability ProtectionDeep Security Managerでの表示に使用されます)。
vCloud Airデータセンターのアドレスを入力します。
vCloud Airデータセンターのアドレスを確認するには、次の手順を実行します。
1. vCloud Airポータルにログインします。
2. [Dashboard] タブで、Deep Securityにインポートするデータセンターをクリックします。[Virtual Data Center Details] 情報画面が表示されます。
3. [Virtual Data Center Details] 画面の [Related Links] セクションで、[vCloud Director API URL] をクリックします。vCloud Director APIの完全なURLが表示されます。
4. Deep SecurityにインポートするvCloud Airデータセンターのアドレスとして、(完全なURLではなく) ホスト名のみを使用します。
ユーザ名とパスワードを入力します。
ユーザ名は、username@virtualdatacenteridの形式にします。
[次へ] をクリックします。
Vulnerability ProtectionDeep Security ManagerによってvCloud Airデータセンターへの接続が確認され、インポート処理の概要が表示されます。[完了] をクリックします。

VMware vCloud Airデータセンターが、Vulnerability ProtectionDeep Security Managerの [コンピュータ] 画面に、それぞれ別個の項目として表示されます。

Agent起動通信を有効にする (Microsoft Azure用)

Deep Security ManagerとAgent間の通信には、双方向、Manager起動、およびAgent起動の3つのオプションがあります。Microsoft AzureリソースをDeep Security Managerに追加する場合、Agent起動通信を使用する必要があります。

Agent起動通信を有効にするには

Deep Security Managerコンソールで、[管理]→[システム設定]→[Agent]→[Agentからのリモート有効化] に進みます。
[Agentからのリモート有効化を許可] が選択されていることを確認します。
[保存] をクリックします。

Microsoft Azureで使用する証明書とキーペアを生成する

Microsoft AzureリソースをDeep Security Managerに追加する前に、証明書とキーペアを生成する必要があります。必要なファイルを生成したら、Azure Webサービスコンソールに証明書 (.cerファイル) をインポートします。キーペア (.pemファイル) は、Microsoft Azureリソースを追加する際にDeep Security Managerにアップロードします。

証明書とキーペアを作成するには

Vulnerability ProtectionDeep Security Managerで、[管理]→[システム設定]→[セキュリティ] に進みます。
[キーペアの生成] の下で、[キーペアの生成] をクリックします。
[キーペアのパスワード] ボックスと [パスワードの確認入力] ボックスにパスワードを入力します。
[キーペアの作成] をクリックします。
.pemファイルをローカルに保存します。
[証明書のエクスポート] をクリックします。
.cerファイルをローカルに保存します。
[閉じる] をクリックします。

Manager用Microsoft Azureアカウントを作成する

Deep Security ManagerがアクセスするためのMicrosoft Azureアカウントを作成するには

Azure Webサービスコンソールにログインします。
左側のナビゲーションペインで [Settings] をクリックします。
該当するサブスクリプションIDをクリックします。
[Management Certificates] をクリックします。
ページの一番下にある [Upload] をクリックし、前の手順で生成した.cerファイルを選択します。

Microsoft Azureアカウントからコンピュータをインポートする

Microsoft Azureのクラウドリソースをインポートするには

Vulnerability ProtectionDeep Security Managerで、[コンピュータ] セクションに移動し、ナビゲーションパネルで [コンピュータ] を右クリックし、[クラウドアカウントの追加] を選択してクラウドアカウント追加ウィザードを開きます。
クラウドプロバイダの種類に [Azure] を選択します。
追加するリソースの名前と説明を入力します (これらの情報は、Vulnerability ProtectionDeep Security Managerでの表示に使用されます)。
サブスクリプションIDを入力し、[参照] をクリックして前の手順で生成した.pemファイルを選択します。
.pemファイルをまだ作成していない場合は、[新しいキーペアを生成します]、［キーペアの作成］ の順にクリックして、Deep Security Managerにアップロード可能な新しいキーペアを作成します。次に、[証明書のエクスポート] をクリックして、Azure Webサービスコンソールにインポート可能な自己署名証明書 (.cerファイル) を作成します。
[次へ] をクリックします。
Vulnerability ProtectionDeep Security Managerによってクラウドリソースへの接続が確認され、インポート処理の概要が表示されます。[完了] をクリックします。

Azureのリソースが、Vulnerability ProtectionDeep Security Managerの [コンピュータ] 画面に、それぞれ別個の項目として表示されます。

クラウドアカウントを管理する

クラウドコンピュータでVulnerability ProtectionDeep Securityの保護を実装するには、ネットワーク上の他のコンピュータと同じように、Agentをインストールしてポリシーを割り当てる必要があります。コンピュータにVulnerability ProtectionDeep Security Agentをインストールする方法については、インストールガイドを参照してください。クラウドプロバイダインフラストラクチャで実行されているコンピュータは、他のコンピュータと同じように、Agentベースの保護を使用してDeep Securityによって管理されます。

同期が有効になっている場合、クラウドプロバイダアカウントのインスタンスのリストが10分間隔で更新されます。定期的な同期を有効または無効にするには、ナビゲーションパネルでクラウドプロバイダアカウントを右クリックして [プロパティ] 画面を開き、[一般] タブに進みます([管理] セクションでこの処理を予約タスクとして自動化することで、独自の同期スケジュールを指定できます)。

クラウドアカウントのソフトウェアアップデートを設定する

RelayはVulnerability ProtectionDeep Security Agentのモジュールで、セキュリティアップデートやソフトウェアアップデートのダウンロードおよび配布を行います。通常、新しいアップデートが入手可能になるとVulnerability ProtectionDeep Security ManagerからRelayに通知され、Relayがアップデートを取得して、AgentがRelayからアップデートを取得します。

ただし、Vulnerability ProtectionDeep Security Managerをエンタープライズ環境に展開し、クラウド環境でコンピュータを管理している場合、クラウドのRelayがVulnerability ProtectionDeep Security Managerと通信できない場合があります。解決策として、Vulnerability ProtectionDeep Security Managerに接続できない場合は、ソフトウェアアップデートをトレンドマイクロのダウンロードセンターから直接取得するようにRelayを設定することができます。このオプションを有効にするには、[管理]→[システム設定]→[アップデート] の順に選択し、[ソフトウェアアップデート] で [Vulnerability ProtectionDeep Security Managerにアクセスできない場合、トレンドマイクロのダウンロードセンターからのソフトウェアアップデートのダウンロードをRelayに許可] を選択します。

クラウドアカウントを削除する

クラウドプロバイダアカウントをVulnerability ProtectionDeep Security Managerから削除すると、アカウントはVulnerability ProtectionDeep Securityのデータベースから削除されます。クラウドプロバイダのアカウントに影響はありません。また、インスタンスにインストールされていたVulnerability ProtectionDeep Security Agentはアンインストールされずに引き続き実行され、保護を提供します (ただしセキュリティアップデートは受信しなくなります)。クラウドプロバイダアカウントからコンピュータを再インポートすると、Vulnerability ProtectionDeep Security Agentによって、次回の予約時に最新のセキュリティアップデートがダウンロードされます。

Vulnerability ProtectionDeep Security Managerからクラウドプロバイダアカウントを削除するには

[コンピュータ] 画面を開き、ナビゲーションパネルでクラウドプロバイダアカウントを右クリックし、[クラウドアカウントの削除] を選択します。
アカウントを削除することを確認します。
アカウントがVulnerability ProtectionDeep Security Managerから削除されます。