本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
Deep Security Managerで使用するデータベースの準備
オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。
Deep Security ManagerをAWSインスタンスにインストールする場合は、AWS上のDeep Security Managerで使用するデータベースの準備を参照してください。
Deep Security Managerをインストールする前に、Deep Security Managerで使用するデータベースとユーザアカウントを準備する必要があります。データベースのインストールおよび使用手順については、データベースプロバイダのドキュメントを参照してください。ただし、Deep Securityとの統合に関して、次の点にも注意してください。
- ハードウェアに関する注意事項を確認します。
- データベースの種類を選択します。サポートされるデータベースのリストについては、システム要件を参照してください。
- 選択したデータベースに応じ、Microsoft SQL ServerまたはOracle Databaseを参照してデータベースごとの注意点をご確認ください。
Microsoft SQL Server Expressは、Deep Security 10.0 Update 2以降が適用された、特定の限られた構成でのみサポートされます。詳細については、Microsoft SQL Server Expressに関する注意事項を参照してください。
- 高可用性については、Deep Securityデータベースは、データベーススキーマを変更していなければ、データベースのフェイルオーバ保護に対応しています。たとえば、一部のデータベース複製テクノロジでは、複製時にデータベーステーブルに列が追加され、重大なエラーとなる可能性があります。そのため、データベース複製ではなくデータベースミラーを使用することを推奨します。
- データベースの時刻は、Deep Security Managerのコンピュータの時刻と同期する必要があります。データベースとManagerが同じタイムゾーンを使用し、時刻を同じタイムソースに同期していることを確認します。
- Deep Security Managerのコンピュータからデータベースのコンピュータへの通信を許可します。ポート番号、URL、およびIPアドレスを参照してください。
- Deep Security Managerのインストール時にデータベース接続の詳細を指定するように求められます。データベースのホスト名を [ホスト名] に入力し、Deep Security用に作成済みのデータベースを [データベース名] に入力してください。
インストールではSQL認証とWindows認証の両方がサポートされます。Windows認証を使用する場合は、[詳細] ボタンをクリックすると他のオプションが表示されます。
- データベースメンテナンスDeep Securityの運用の重要な部分です。
ハードウェアに関する注意事項
専用のサーバ
データベースは、Managerノードから独立した専用のサーバにインストールします。また、データベースとDeep Security Managerを1GbpsのLAN接続を使用する同じネットワーク上に配置して、両者間の通信が妨げられずに確実に行われるようにすることも重要です(WAN接続は推奨されません)。これは、Deep Security Managerノードを追加する場合にも該当します。Deep Security Managerからデータベースへの接続の待ち時間は、2ミリ秒以内が推奨されます。
そのためには、Managerとデータベースを仮想マシンにインストールする場合に、それらが必ず同じESXiホストで実行されるようにしてください。
- vCenter Web Clientで、[Host and Clusters] に移動してクラスタを選択します。
- [Manage] タブに移動して、[VM/Host Rules]→[Add] をクリックします。
- ルールの名前を入力します。
- [Enable rule] を選択します。
- [Type] で [Keep Virtual Machines Together] を選択します。
- [Add] をクリックし、Managerとデータベースの仮想マシンを選択します。
ハードウェアに関する推奨事項
アップデートや推奨設定の検索など、Deep Security Managerの処理の多くは、多くのCPUリソースとメモリリソースを必要とします。大規模な環境の場合、トレンドマイクロでは、各Managerノードに4コアおよび十分なメモリを持たせることを推奨します。
データベースは、最適なDeep Security Managerノードの仕様と同等か、それ以上のハードウェアにインストールしてください。十分なパフォーマンスのためには、データベースに8~16GBのメモリと、ローカルまたはネットワーク接続されたストレージへの高速アクセスが必要です。可能であれば、最適なデータベースサーバの設定と実施されるメンテナンス計画について、データベース管理者に確認してください。
Microsoft SQL Server
一般的な要件
- Deep Securityで使用される空のデータベースを作成する必要があります。
- リモートTCP接続を有効にする ( https://docs.microsoft.com/en-us/previous-versions/visualstudio/visual-studio-2008/bb909712(v=vs.90) )を参照してください。
- Deep Security Managerのデータベースユーザにdb_owner権限を付与します。
トランスポートプロトコル
- 推奨されるトランスポートプロトコルはTCPです。
- 名前付きパイプを使用してSQL Serverに接続する場合は、Deep Security ManagerのホストとSQL Serverのホスト間に、適切に認証されたMicrosoft Windows通信チャネルを確立する必要があります。次の場合は、このチャネルが確立されている可能性があります。
- SQL ServerがDeep Security Managerと同じホスト上にある場合
- 2つのホスト間に信頼関係がある場合
- 両方のホストが同じドメインのメンバーである場合
適切な通信チャネルが確立されていない場合、Deep Security Managerは名前付きパイプを介してSQL Serverと通信できません。
マルチテナントを使用する場合
- メインデータベース名を短くします。これにより、テナントのデータベース名が読み取りやすくなります(たとえば、メインデータベースが「MAINDB」の場合、最初のテナントのデータベース名は「MAINDB_1」、2番目のテナントのデータベース名は「MAINDB_2」になります (以下同様))。
- dbcreator 権限の付与Deep Securityマネージャのデータベースユーザアカウント。マルチテナントの詳細については、を参照してください。マルチテナント環境の設定.
Oracle Database
- 「Oracle Listener」サービスを開始します。TCP接続が許可されていることを確認します。
- Deep Security Managerのデータベースユーザ名に特殊文字は使用しないでください。Oracleでは、引用符で囲めばデータベースユーザオブジェクトの設定時に特殊文字を使用できますが、Deep Securityでは、データベースユーザの特殊文字がサポートされていません。
- Deep Security ManagerのデータベースユーザにCONNECTロールとRESOURCEロール、およびUNLIMITED TABLESPACE、CREATE SEQUENCE、CREATE TABLE、CREATE TRIGGERの各権限を付与します。
マルチテナントを使用する場合は、Deep Security ManagerのデータベースユーザにCREATE USER、DROP USER、ALTER USER、GRANT ANY PRIVILEGE、GRANT ANY ROLEの権限も付与します。
Oracleコンテナデータベース (CDB) の設定は、Deep Security Managerのマルチテナントではサポートされません。
Oracle RAC (Real Application Clusters) のサポート
Deep Securityでは次の構成がサポートされます。
- SUSE Linux Enterprise Server 11 SP3とOracle RAC 12c Release 1 (v12.1.0.2.0)
- Red Hat Linux Enterprise Server 6.6とOracle RAC 12c Release 1 (v12.1.0.2.0)
初期設定のLinux Server Deep SecurityポリシーはOracle RAC環境に対応していますが、ファイアウォールの設定だけは例外です。 ファイアウォール を無効にすることも、 ファイアウォール の設定をカスタマイズすることもできます。Oracle RACでのファイアウォール設定.
データベースメンテナンス
Deep Security環境の状態を正常に維持するには、データベースメンテナンスが不可欠です。
インデックスのメンテナンス
Deep Security Managerのパフォーマンスを向上させるには、Deep Securityデータベースでインデックスのメンテナンスを定期的に実行して、過度のフラグメント化を防止することをお勧めします。組織のベストプラクティスに従ってデータベースのインデックスを再作成するか、データベースベンダが提供する以下のドキュメントを参照してください。
- Microsoft SQL: インデックス管理のベストプラクティスについては、Microsoftのドキュメントを参照してください: https://docs.microsoft.com/en-us/sql/relational-databases/indexes/reorganize-and-rebuild-indexes?view=sql-server-ver15。
- Oracle Database: インデックスの管理に関するOracleのベストプラクティスに従ってください。たとえば、https://docs.oracle.com/cd/B28359_01/server.111/b28310/indexes002.htm#ADMIN11713を参照してください。
データベースのインデックス再作成に役立つスクリプトは、オープンソースのWebサイトでも提供されています。
バックアップ
Deep Securityデータベースで障害が発生した場合に備えて、バックアップ戦略を立てておくことが重要です。データベースのバックアップ方法については、データベースベンダーのドキュメントを参照してください。データベースのバックアップと復元データベースの復元方法については、必要に応じて参照してください。