AgentとManagerの通信

Deep SecurityManagerとエージェントまたはアプライアンスは、最新の相互にサポートされているバージョンのTLSを使用して通信します。

Managerは、ハートビート中に次の情報を収集します。

  • ドライバのステータス (オンラインまたはオフライン)
  • Agent/Applianceのステータス (時刻を含む)
  • 前回のハートビート以後のAgent/Applianceのログ
  • カウンタをアップデートするデータ
  • Agent/Applianceのセキュリティ設定のフィンガープリント (設定が最新かどうか判断するために使用)

どちらのコンピュータからハートビートを開始するか、ハートビートの実行間隔、およびハートビートが何回失敗するとアラートが生成されるかを変更できます。

通信方向の決定

初期設定では、Agent/ApplianceとDeep Security Managerの両方が、それぞれの必要なポート番号で相互に接続されます。接続の目的は、ハートビートの送信 (サービスが使用可能であることを通知) と、設定のアップデートです (つまり、接続は双方向です)。

Deep Security Virtual Applianceを使用する場合は、この設定を変更しないでください。Deep Security Virtual Applianceは双方向の通信を必要とします。Virtual Applianceでこの設定を変更すると、機能が中断されます。

[Managerから開始] オプションを選択すると、Deep Security Managerのみが接続を開始します。ManagerがAgentに接続するタイミングは、ハートビートの実行時、予約アップデートの実行時、および管理者が [有効化/再有効化] または [ポリシーの送信] をクリックしたときです。

待機ポート番号をすべて閉じてAgentのセキュリティを強化する必要がある場合は、[Agent/Applianceから開始] を選択して、ハートビートと設定の通信がAgentからのみ開始されるようにします。

双方の間の他の通信とは異なり、ポート検索ではこの設定にかかわらず一方向の通信のみが使用され、Deep Security ManagerのみがAgentのポート検索を実行します。

通信方向を設定する

ハートビートは、ベース/親ポリシー、サブポリシー、あるいは個々のコンピュータなど、複数のレベルで設定できます。

ポリシーで通信方向を設定するには

  1. 通信を設定するポリシーをポリシーエディタClosed ポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。で開きます。
  2. [設定]→[一般]→[通信方向] に移動します。
  3. [Deep Security ManagerとAgent/Applianceの通信方向] メニューで、[Managerから開始]、[Agent/Applianceから開始]、[双方向] の3つのオプションのいずれかを選択するか、[継承] を選択します。[継承] を選択した場合、ポリシーには、ポリシー階層における親ポリシーの設定が継承されます。その他のオプションのいずれかを選択すると、継承された設定がオーバーライドされます。
  4. [保存] をクリックして変更を適用します。

特定のコンピュータの通信方向を設定するには

  1. 通信を設定するコンピュータをコンピュータエディタClosed コンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で開きます。
  2. [設定]→[一般]→[通信方向] に移動します。
  3. [Deep Security ManagerとAgent/Applianceの通信方向] メニューで、[Managerから開始]、[Agent/Applianceから開始]、[双方向] の3つのオプションのいずれかを選択するか、[継承] を選択します。[継承] を選択した場合、コンピュータには、適用されているポリシーから設定が継承されます。その他のオプションのいずれかを選択すると、継承された設定がオーバーライドされます。
  4. [保存] をクリックして変更を適用します。
Agent/Applianceは、Managerのホスト名によってネットワーク上のDeep Security Managerを検索します。このため、Agent/Applianceによる開始または双方向の通信を使用する場合は、Managerのホスト名が必ずローカルDNS内にある必要があります

AgentとManagerの通信でサポートされている暗号化スイート

Deep SecurityManagerとエージェントまたはアプライアンスは、最新の相互にサポートされているバージョンのTLSを使用して通信します。

確認オプションは、Deep Securityエージェントは、マネージャとの通信用に次の暗号スイートをサポートしています。サポートされている暗号スイートを知りたい場合はDeep Securityマネージャ、トレンドマイクロにお問い合わせください。サポートされている暗号スイートを知りたい場合はDeep Securityアプライアンスに組み込まれているエージェントのバージョンを確認し、次にそのリスト内のそのエージェントを検索します。

暗号化スイートは、鍵交換非対称アルゴリズム、対称データ暗号化アルゴリズム、およびハッシュ関数で構成されます。

Deep Securityエージェント9.5では、次のTLS 1.0暗号スイートがサポートされます。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep SecurityAgent 9.6では、次のTLS 1.0暗号スイートがサポートされます。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep SecurityUpdate 10.0までのAgent 10.0では、次のTLS 1.2暗号スイートがサポートされます。

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Deep Securityエージェント10.0アップデート16以降のアップデートでは、これらのTLS 1.2暗号スイートがそのまま使用できます。

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Deep Securityエージェント10.0アップデート16以降のアップデートでは、 の強力な暗号スイートが有効な場合に、次のTLS 1.2暗号スイートがサポートされます。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256