Trend Micro Deep Securityのセキュリティ保護機能を検証!!環境構築編

こんにちは。SB Cloud ソリューションアーキテクトのMIです。

Trend Micro社の統合サーバセキュリティ製品「Deep Security」がAlibaba Cloudで利用できる?というご相談があり、早速検証してみました!

結果から先にお伝えしますと…問題なく利用できました!!

今回は検証を実施したDeep Securityの検証環境構築手順をご紹介します。
動作確認の手順はこちらに掲載しています⇒動作確認編

目次

記載が長くなってしまいましたので、セクションをリンクで張っておきます。
Deep Securityとは
検証環境の構成図
Deep Security導入手順
Deep Security動作確認

Deep Securityとは

Trend Micro Deep Securityはサーバを多重防御する統合サーバセキュリティ対策製品です。下記7つの保護機能により、サーバのセキュリティを強化します。
Alibaba CloudのプロダクトにはWAF、Anti-DDoS、セキュリティーグループなどのセキュリティソリューションがありますが、OSレベルでセキュリティ対策を実施したい場合には有効な製品と思います。

1 不正プログラム対策 リアルタイムにウィルスを検索
2 侵入防御 OSやアプリケーションの仮想パッチで脆弱性を保護
3 Webレピュテーション 不正なURLへの接続を防止
4 ファイアウォール DoS攻撃などの不正な通信を防御
5 アプリケーションコントロール ホスト上で実行されるアプリケーションを監視
6 変更監視 ファイルやレジストリ等の変更を監視
7 セキュリティログ監視 OSやミドルウェアのセキュリティイベントを集中管理

 

Deep Securityは次のコンポ―ネントにより構成されています。
この後の記載でコンポーネント名が出てきますので、ここでおおまかな役割を把握しておいて頂けると内容が分かり易くなると思います。

管理コンポーネント
・コンピュータ保護のためのモジュール管理、ログ収集、モジュール配信など行います。
 

 

 

種別 コンポ―ネント名 説明
管理Manager Deep Security Manager Deep Securityを管理するコンポーネントです。
管理Manager用DB DataBase Deep Security Managerが利用するデータベースです。
その他 Deep Security Relay Agentのソフトウェアアップデート等、モジュールを配信するコンポーネントです。
保護コンポーネント
・保護対象のサーバにインストールし、セキュリティ機能を提供します。
保護対象サーバ Deep Security Agent 保護対象サーバにインストールするコンポーネントです。複数のセキュリティ機能を統合的に提供します。

Deep Securityの製品詳細につきましてはTrend Micro社のウェブサイトをご確認下さい。

検証環境の構成図

Deep Security導入手順

Deep Securityを導入するためのAlibaba Cloud環境を準備します。
今回は検証目的のためDeep Securityが動作する最低限の環境で構築しています。

1.導入環境の準備

Deep Securityを導入するAlibaba Cloudの環境を準備します。

次の流れで準備を進めます。
1-1.VPCの準備
1-2.ECSインスタンス作成
1-3.セキュリティーグループ設定

1-1.VPCの準備

下記内容でVPCを準備します。VPCの設定方法の詳細についてはこちらをご参照下さい。

・東京リージョン

VPC VSwitch
VPC名前 CIDR VSwitch名前 CIDR
VPC-JPN 172.16.0.0/12 SUBNET-JPN 172.16.1.0/24

 

1-2.ECSインスタンス作成

東京リージョンにマネージャサーバ1台、管理対象サーバ1台を準備します。
下記内容でECSインスタンスを作成します。ECSインスタンスの作成方法の詳細はこちらをご参照下さい。

・マネージャサーバ

インスタンス名 DSM-SV
リージョン アジア東北1(東京)
VPCの選択 VPC-JPN
VSwitchの選択 SUBNET-JPN
インスタンスタイプ ecs-t5-lc1m4.large
(CPU:2vCPU / Memory:8GiB / DISK40GB)
イメージ Windows Server 2012 R2 Data Center Edition 64bit Japanese Edition

 

・管理対象サーバ

インスタンス名 DSA-PC
リージョン アジア東北1(東京)
VPCの選択 VPC-JPN
VSwitchの選択 SUBNET-JPN
インスタンスタイプ ecs-t5-lc1m1.small
(CPU:1vCPU / Memory:1GiB / DISK40GB)
イメージ Centos 7.4 64bit

Deep Securityのシステム要件につきましてはTrend Micro社のウェブサイトをご確認下さい。

 

1-3.セキュリティーグループ設定

Deep Security通信及び検証に必要なポートを許可します。
マネージャサーバと管理対象サーバは同じセキュリティーグループを利用しています。

以下の通りセキュリティーグループを設定します。セキュリティーグループの権限付与方法の詳細はこちらをご参照下さい。

権限付与ポリシー

プロトコルタイプ ポート 権限付与タイプ 権限付与オブジェクト 補足
許可 Custom UDP 22/22 アドレスフィールドアクセス 0.0.0.0/0 SSH接続用
許可 Custom UDP 3389/3389 アドレスフィールドアクセス 0.0.0.0/0 RDP接続用
許可 All ICMP -1/-/1 アドレスフィールドアクセス 172.16.1.0/24 PING疎通確認用
許可 Custom UDP 4122/4122 アドレスフィールドアクセス 172.16.1.0/24 Deep Security通信用
許可 Custom UDP 4118/4120 アドレスフィールドアクセス 172.16.1.0/24 Deep Security通信用
許可 Custom UDP 80/80 アドレスフィールドアクセス 172.16.1.0/24

HTTP通信用

 

2.Deep Security Manager(DSM)/Deep Security Relay(DSR)の導入

マネージャーサーバにDeep Securityのコンポーネントをインストールします。

次の流れで導入を進めます。
2-1.データベースのインストール
2-2.データベースのネットワーク設定
2-3.データベースのサービス設定
2-4.Deep Security用データベース作成
2-5.DSM/ DSRインストール
2-6.Deep Security Agent(DSA)インストール
2-7.DSAルール適用

 

2-1.データベースのインストール

マネージャサーバにDSMで利用するデータベースをインストールします。
検証目的のため、無償のMicrosoft SQL Server 2016 SP1 Expressを利用しました。

本番環境ではデータベースの肥大化や負荷が増加するとDeep Securityが正常に動作しなくなる場合がありますのでご注意下さい。詳しくはトレンドマイクロ社のサイトをご確認下さい。

インストールモジュールは以下のURLよりダウンロードできます。
https://www.microsoft.com/ja-jp/download/details.aspx?id=54284
※ブログ執筆中にSP1がダウンロードできなくなりましたので、SP2のURLを掲載しています。DeepSecurityはSP2も対応しています。

(1)セットアップファイル(SQLEXPR_x64_JPN.exe)を実行します。

(2)[インストール] 画面で[SQL Server の新規スタンドアロン インストールを実行するか、既存のインストールに機能を追加します。] を選択します。

(3)「ライセンス条項」画面で[ライセンス条項に同意します。]をチェックして、[次へ]ボタンを押下します。

(4)「Microsoft Update」画面で[Microsoft Update を使用して更新プログラムを確認する]をチェックして、[次へ] ボタンを押下します。

(5)「機能の選択」画面ですべての機能が選択されているのを確認し、[次へ] ボタンを押下します。

(6)「インスタンスの構成」画面で [名前付きのインスタンス] に [dsm] と入力し、[次へ] ボタンを押下します。

(7)「サーバーの構成」画面はデフォルトのまま、[次へ] ボタンを押下します。

(8)「データベース エンジンの構成」画面で[混合モード]を選択し、saアカウントのパスワードを入力し、[次へ] ボタンを押下します。

(9)「完了」画面で状態が成功になっていることを確認して、[閉じる] ボタンを押下します。

 

2-2.データベースのネットワーク設定

SQL ServerのTCP/IPを有効にします。

(1)SQL Server 2016 構成マネージャーを起動します。

(2)[SQL Server ネットワーク構成] - [DSMのプロトコル]でTCP/IPを「有効」に設定します。

(3)「警告」画面で[OK]ボタンを押下します。

(4)[SQL Server のサービス] で「SQL Server(DSM)」を再起動します。

 

2-3.データベースのサービス設定

SQL Serverの[SQL Server Browser]サービスを有効にします。

(1)SQL Server 2016 構成マネージャーを起動します。

(2)[SQL Server のサービス] - [SQL Server Browser]のプロパティを開きます。

(3)開始モードを[無効]から[自動]へ変更して、[適用]ボタンを押下します。

(4)[SQL Server のサービス] で[SQL Server Browser]を開始します。

 

2-4.Deep Security用データベース作成

SQL ServerにDeep Security用のデータベースを作成します。

(1)コマンドプロンプトを起動します。

(2)次のコマンドを実行します。

sqlcmd -U sa -P <saユーザーのパスワード> -S localhost\dsm
1>create database dsm
2>go
1>exit

 

2-5. DSM/ DSRインストール

マネージャサーバにDSM/DSRをインストールします。
インストールモジュールは以下のURLよりダウンロードできます。
https://help.deepsecurity.trendmicro.com/ja-jp/software.html

ライセンスキーはトレンドマイクロ社に事前申請をした体験版アクティベーションコードを利用しています。体験版アクティベーションコードは以下URLをご確認下さい。
https://appweb.trendmicro.com/trial/dl_trial.asp?productid=77

(1)セットアップファイル(Manager-Windows-11.0.240.x64.exe)を実行します。

(2)「言語の選択」画面は[日本語]を選択し、[OK]ボタンを押下します。

(3)「Trend Micro Deep Security Managerのセットアップウィザードへようこそ」画面で[次へ]ボタンを押下します。

(4)「使用許諾契約書」画面で[同意します]を選択し、[次へ]ボタンを押下します。

(5)「インストールパス」画面でインストールパスを入力し、 [次へ]ボタンを押下します。

(6)「データベース」画面で次の通りに入力し、[詳細」ボタンを押下します。

ホスト名:DSM-SV
データベース名:dsm
ユーザ名:sa
パスワード:<saのパスワード>

(7)「SQL Serverの詳細オプション」画面で名前付きインスタンスに[dsm]を入力し、[OK」ボタンを押下します。

(8)「データべース」画面に戻ります。[次へ]ボタンを押下します。

(9)「システムチェック」画面で[システムチェックを開始」ボタンを押下します。

(10)結果が表示されます。結果に問題がないことを確認し、[Deep Security Managerをインストール]ボタンを押下します。
※検証環境は、Microsoft SQL Server 2016 SP1 Expressを利用しているため、警告が表示されています。

(11)「製品のアクティベーション」画面でアクティベーションコードを入力し、[次へ]ボタンを押下します。

※検証環境は、複数の保護モジュール用の単一アクティベーションコードに、体験版アクティベーションコードを入力しています。

(12)「アドレスとポート」画面で次の通りに入力し、 [次へ]ボタンを押下します。

Managerアドレス:DSM-SV
Managerポート:4119 ※デフォルト値
ハートビートポート:4120 ※デフォルト値

(13)「管理者アカウント」画面でユーザ名とパスワード/パスワードの確認を入力し、[次へ]ボタンを押下します。

(14)「セキュリティアップデートの設定」画面で[セキュリティアップデート・・・タスクを作成]がチェックされていることを確認し、[次へ]ボタンを押下します。

(15)「Relay有効化済みAgent」画面で[Relay有効化済みAgentをインストール]をチェックし、[次へ]ボタンを押下します。

※このチェックを行うことで、DSRも同時にインストールを行うことができます。

(16)「Smart Protection Network」画面で「・・・有効にする」がチェックされていることを確認し、[次へ]ボタンを押下します。

※業種は任意で入力して下さい。

(17)「インストール情報」画面でインストール概要を確認し、[インストール]ボタンを押下します。

(18)「インストールが完了しました」画面で「・・・コンソールを起動する」がチェックされていることを確認し、 [終了]ボタンを押下します。

(19)ブラウザが起動し、DSMコンソールのログイン画面が表示されます。インストール時に設定した管理者アカウントのユーザ名、パスワードを入力し、[ログオン] ボタンを押下します。

(20)DSMコンソールが表示されます。

※画面上部にMicrosoft SQL Server 2016 SP1 Expressを利用しているため、警告が表示されています。

2-6.Deep Security Agent(DSA)インストール

管理対象サーバにDSAをインストールします。

(1)DSMコンソールにログインします。

(2)[管理]メニュー>[アップデート]>[ソフトウェア]>[ダウンロードセンター]でインストール先のプラットフォームに適応したDSAのインストールモジュールを選択し、[インポート]ボタンを押下します。

管理対象サーバはCentOS7.4のため、以下のモジュールを選択しています。
Agent-RedHat_EL7-11.0.0-326.x86_64.zip
KernelSupport-RedHat_EL7-11.0.0-364.x86_64.zip

(3)[管理]メニュー>[アップデート] >[ソフトウェア]>[ダウンロードセンター]で[Agent-RedHat_EL7-11.0.0-326.x86_64.zip]を選択し、[エクスポート] >[インストーラーのエクスポート]を押下します。

(4)ブラウザのダイアログで[保存]ボタンを押下します。

(5)保存されたファイルを管理対象サーバにアップロードします。
※SCPなどのツールを利用して、WindowsからLinuxへファイルをコピーします。

(6)管理対象サーバにターミナルソフトウェアから管理者ユーザでログインします。

(7)viエディア等で/etc/hostsファイルに次の通りにDSM-SVのアドレスを追加します。

172.16.1.252    DSM-SV

 

(8)DSAを次のコマンドでアップロードしたrpmファイルを指定し、インストールします。

# rpm -i Agent-Core-RedHat_EL7-11.0.0-326.x86_64.rpm

 

(9)DSMコンソールにログインします。

(10)[コンピュータ]メニューを表示します。

(11)[コンピュータの追加]を押下します。

(12)「新規コンピュータウィザード」画面で次の通りに入力し、 [次へ]ボタンを押下します。

ホスト名:172.16.1.1  ※管理対象サーバのIPアドレス
ポリシー:Base Policy > Linux Server
セキュリティアップデートのダウンロード先:初期設定のRelayグループ

(13)[・・・Agentが検出されました。]の表示を確認し、[完了]ボタンを押下します。

(14)[コンピュータが正常に作成されました。]の表示を確認し、[閉じる]ボタンを押下します。

[[閉じる]で[コンピュータの詳細]を開く]のチェックで次の画面が表示されます。
表示を確認後、[閉じる]ボタンを押下します。

(15)[コンピュータ]メニューで管理対象サーバ(172.16.1.1)が追加されたことを確認できます。

 

2-7.DSAルール適用

管理対象サーバの侵入防御に推奨設定を適用します。

(1)DSMコンソールにログインします。

(2)[コンピュータ]メニューを表示し、管理対象サーバ[172.16.1.1]をダブルクリックします。

(3)[侵入防御] >[一般]を表示します。[現在のステータス]で侵入防御ルールが0個であることが確認できます。[推奨設定の検索]ボタンを押下します。

(4)推奨設定が適用され、[現在のステータス]で侵入防御ルールが33個割り当てられてことが確認できます。[閉じる]ボタンを押下します。

(5)[概要]で推奨設定が適用されたことにより、変更監視に24個のルール、セキュリティログ監視に7個のルールが割り当てられたことが確認できます。[閉じる]ボタンを押下します。

おわりに

長くなってしまいましたが、問題なくDeep Securityを導入することができました!引き続き、動作確認編もお楽しみに!

この記事をシェアする