Azure仮想マシンを Trend Micro Deep Security Agent で保護する

こんにちは。日山(@hiiyan0402)です。


より安全なクラウドの実現へ

2014年5月に開催された TechEd North America 2014 にてAzure仮想マシンのセキュリティ拡張機能が追加になりました。具体的には、VMエージェントにより、「Trend Micro Deep Security Agent」「Microsoft Antimalware」「Symantec Endpoint Protection」のうち、選択したものを仮想マシン作成時にインストールできるという機能です。

パブリッククラウド導入の懸念点でよく挙がるのが「セキュリティ」です。パブリッククラウドはセキュリティ性が低いのか?そんなことはありません。オンプレミスもパブリッククラウドもセキュリティ性はほとんど変わりません。それどころか、Microsoft Azureに関して言えば、マイクロソフトのプロフェッショナルに徹底管理されたデータセンタ&ネットワークにて仮想マシンが稼働しているため、オンプレミスよりセキュリティ性が高いと言えます。

一点心配なのが、仮想マシンにセキュリティソフトを入れ忘れてしまうことです。オンプレミスで稼働するサーバにはセキュリティソフトを入れるのは常識です。しかし、パブリッククラウドで稼働する仮想マシンには入れられていないことが多いように思えます。

その原因は、「仮想マシンが頻繁に作成/削除を繰り返されるため」と、「作成される仮想マシンが多すぎる」の2つであると考えられます。「使いたいときに使いたいだけ無尽蔵にコンピューティングリソースを利用できる」クラウドのメリット故の原因です。頻繁または大量に仮想マシンが作成されると、いちいちセキュリティソフトを入れるのが大変です。またセキュリティポリシを更新するのも一苦労です。

さすがのマイクロソフトも仮想マシンのOSレベル以上のセキュリティは担保してくれません。これはAzureだけでなくAWSでも同じです。OSレベル以上のセキュリティはパブリッククラウドでもオンプレミスでも、ユーザが担保する必要があります。

Trend Micro Deep Security ってなに?

トレンドマイクロから提供されているセキュリティソフトです。(公式サイト)

イメージ図

20140610_hiyama_11

どんなことができるの?

機能としては以下が挙げられます。

  • ウイルス対策
  • Webレピュテーション機能(Webからの脅威の出所である不正URLへのアクセスをブロックする機能)
  • Webアプリケーション保護
  • 侵入検知・防止(ホスト型IDS/IPS)
  • ファイアウォール
  • ファイルやレジストリなどの変更監視
  • セキュリティログ監視

役割としてはマネージャ、Relayサーバ、エージェントの3種類あります。

エージェント セキュリティ対策を行うマシンで稼働させるプログラムです。セキュリティ監視をいろいろとしてくれます。
マネージャ エージェントに対してセキュリティ対策設定を送信します。また対策設定の元となるウィルスパターンや脆弱性ツールはトレンドマイクロのセキュリティセンターから取得します。
Relayサーバ マネージャから受けたセキュリティ対策設定を配下のエージェントへリレーします。エージェントが直接マネージャと通信できない環境で使用します。

Azure仮想マシンでの利用方法

仮想マシンへエージェントをインストールする

Azure 仮想マシン作成時にエージェントを入れるためには、ギャラリーから作成する必要があります。

OSイメージ選択後、仮想マシン構成設定において、エンドポイントとしてポート番号4118(TCP)を設定します。
名前は任意で、プロトコルは「TCP」、パブリックポート及びプライベートポートはどちらも「4118」を設定します。
(※パブリックポートについては4118以外設定しても、Managerの設定次第で動作します)
20140610_hiyama_01

そして、最後の仮想マシンの構成において、「VMエージェントのインストール」とセキュリティ拡張機能「Trend Micro Deep Security Agent」をチェックして、仮想マシンの作成を行います。
20140610_hiyama_02

仮想マシン作成後、仮想マシンへアクセスして、タスクマネージャを見てみると、Deep Security Agent 関連のプロセスが稼働していることがわかります。
20140610_hiyama_03

同様に3サービス稼働しています。
20140610_hiyama_04

マネージャへエージェントを登録する

あらかじめ構築しておいた Deep Security Manager のポータルへアクセスします。
20140610_hiyama_05

ポータルの[コンピュータ]タブをクリックして、[新規]ボタンをクリックします。
20140610_hiyama_06

クリックすると、エージェント登録のウィンドウが表示されます。
ホスト名として、仮想マシンのDNS(***.cloudapp.net)を入力します。またセキュリティポリシ等も指定します。
20140610_hiyama_07

有効化されていないエージェントが検出された、とのことなので、[完了]ボタンをクリックして有効化します。
20140610_hiyama_08

これでマネージャへのエージェント登録が完了です。OS情報や、セキュリティ監視ステータスを一覧化できます。
20140610_hiyama_10

こんな感じでエージェントへのセキュリティ設定を管理することができます。
20140610_hiyama_09

えっ?マネージャって自分で構築しないといけないの?

はい。ライセンスキーを購入する必要があります。(無料評価版はあります)
アメリカ本国のTrend Micro 社に対して購入する必要があるので、割りと面倒です。

めんどくさいんだけど・・・

実はこんな商品がありまして(完全に宣伝です、すみません)
Deepsecurity on cloud.configバナー

エージェントインストール(新規/既存)と、マネージャへの登録/セキュリティ監視設定を代行して行うサービスです。
あの大変なマネージャ構築を行うことなく、「Trend Micro Deep Security」のメリットを十分活用することができます。

クラウド時代のセキュリティ対策

オンプレミス/パブリッククラウドにかかわらず、セキュリティ対策は必須です。しかしパブリッククラウドではそれが疎かになりがちです。それは仮想マシンの作成/削除が頻繁に行われる、対象に仮想マシンが作成される、というクラウドのメリットゆえに起こるものです。

なので従来のセキュリティ対策ではなく、クラウド時代のセキュリティ対策が必要になると思います。「Trend Micro Deep Security」は一箇所のマネージャから、大量のエージェントに対してセキュリティ情報をプッシュすることができます。そのため、大量に仮想マシンが存在しても、セキュリティ対策の管理を一元化して、全仮想マシンに徹底することができます。

しかし「Trend Micro Deep Security」を使うための準備が多少大変です。マネージャの構築が必要だからです。そこで「Deep Security presented by cloud.config」をご利用いただくと、マネージャ構築せず、簡単にクラウド時代のセキュリティ対策を実施することができます。

パブリッククラウドでもちゃんとセキュリティ対策をしてハッピーな開発を!

今回も最後までご覧いただきありがとうございました!

TechTarget

クラウドエンジニア  日山 雅之による記事「Microsoft Azure スマート解説」がTechTarget Japanにて好評連載中です (全7回)