Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
AWS上のDeep Security Managerで使用するデータベースの準備
AWSにDeep Securityを導入するときは、AWS Quick Start Deep Security on AWSを使用して自動で導入することをお勧めします。この方法を使用する場合は、クイックスタートでデータベース設定が処理されるため、ここで説明されているデータベースの準備手順は無視できます。クイックスタートの詳細については、Deep Security AMI from AWS Marketplaceのインストールを参照してください。
クイックスタートを使用しない場合は、Deep Security Managerをインストールする前に、データベースをインストールし、Deep Securityのデータベースインスタンスを作成して、Deep Securityのユーザアカウントを作成する必要があります。独自のデータベースをインストールすることも、Amazon RDSマネジメントコンソールを使用してデータベースインスタンス (Microsoft SQL RDSまたはOracle RDS) を作成することもできます。手順については、Amazon RDSのドキュメントを参照してください。ただし、Deep Securityとの統合に関して、次の点に注意してください。
- ハードウェアに関する推奨事項を確認します。
- データベースの種類を選択します。サポートされるデータベースのリストについては、「データベース」を参照してください。
- 選択したデータベースに応じて、Microsoft SQL Server、Oracle Database、またはPostgreSQLの推奨設定を参照してデータベース固有の注意事項を確認してください。
Microsoft SQL Server Expressは、特定の限られた構成でのみサポートされます。詳細については、Microsoft SQL Server Expressに関する注意事項を参照してください。
- 高可用性については、Deep Securityデータベースは、データベーススキーマを変更していなければ、データベースのフェイルオーバ保護に対応しています。たとえば、一部のデータベース複製テクノロジでは、複製時にデータベーステーブルに列が追加され、重大なエラーとなる可能性があります。そのため、データベース複製ではなくデータベースミラーを使用することを推奨します。
- データベースの時刻は、Deep Security Managerのコンピュータの時刻と同期する必要があります。データベースとManagerが同じタイムゾーンを使用し、時刻を同じタイムソースに同期していることを確認します。
初期設定では、AWS Marketplace AMIは協定世界時 (UTC) を使用します。データベースにもUTCを使用することをお勧めします。この設定を変更する場合は、Managerとデータベースの設定が一致していることを確認してください。
- Deep Security Managerのコンピュータからデータベースのコンピュータへの通信を許可します。ポート番号、URL、およびIPアドレスを参照してください。
- Deep Security Managerのインストール時にデータベース接続の詳細を指定するように求められます。データベースのホスト名を [ホスト名] に入力し、Deep Security用に作成済みのデータベースを [データベース名] に入力してください。
インストールではSQL認証とWindows認証の両方がサポートされます。Windows認証を使用する場合、[詳細] オプションは、AWS Marketplace版のDeep Security Managerでは使用できません。
- データベースメンテナンスは、Deep Security処理の重要な一部です。
ハードウェアに関する推奨事項
AWS RDSインスタンス (Microsoft SQL RDSまたはOracle RDS) を使用することをお勧めしますが、スタンドアロンデータベースサーバを使用することもできます。
スタンドアロンデータベースサーバを使用する場合は、次の推奨事項を考慮してください。
- アップデートや推奨設定の検索など、Deep Security Managerの処理の多くは、多くのCPUリソースとメモリリソースを必要とします。大規模な環境の場合、トレンドマイクロでは、各Managerノードに4コアおよび十分なメモリを持たせることを推奨します。
- データベースは、最適なDeep Security Managerノードの仕様と同等か、それ以上のハードウェアにインストールしてください。十分なパフォーマンスのためには、データベースに8~16GBのメモリと、ローカルまたはネットワーク接続されたストレージへの高速アクセスが必要です。可能であれば、最適なデータベースサーバの設定と実施されるメンテナンス計画について、データベース管理者に確認してください。
Microsoft SQL Server
- Deep Securityで使用される空のデータベースを作成する必要があります。
- 推奨されるトランスポートプロトコルはTCPです。
- 「リモートTCP接続」を有効にします(https://docs.microsoft.com/en-us/previous-versions/bb909712(v = .1.2)?redirectedfrom = MSDNを参照してください。)
- AWS Marketplace版のDeep Security Managerでは、名前付きパイプはサポートされません。
- Deep Security Managerで使用するデータベースアカウントにはdb_owner権限が必要です。
- マルチテナントを使用する場合、Deep Security Managerで使用するデータベースアカウントにはdbcreator権限が必要です。マルチテナントについては、マルチテナント環境の設定を参照してください。
Oracle Database
- 「Oracle Listener」サービスを開始し、TCP接続が許可されていることを確認します。
- Deep Security Managerで使用するデータベースアカウントには、CONNECTおよびRESOURCEのロールを割り当て、UNLIMITED TABLESPACE、CREATE SEQUENCE、CREATE TABLE、およびCREATE TRIGGERのシステム権限を付与する必要があります。
- マルチテナントを使用する場合、Deep Security Managerで使用するデータベースアカウントには、CREATE USER、DROP USER、ALTER USER、GRANT ANY PRIVILEGE、およびGRANT ANY ROLEのシステム権限を付与する必要があります。
- データベースユーザ名に特殊文字は使用しないでください。Oracleでは、引用符で囲めばデータベースユーザオブジェクトの設定時に特殊文字を使用できますが、Deep Securityでは、データベースユーザ名での特殊文字の使用はサポートされていません。
Oracle RAC (Real Application Clusters) のサポート
Deep Securityでは次の構成がサポートされます。
- SUSE Linux Enterprise Server 11 SP3とOracle RAC 12c Release 1 (v12.1.0.2.0)
- Red Hat Linux Enterprise Server 6.6とOracle RAC 12c Release 1 (v12.1.0.2.0)
初期設定のLinux Server Deep SecurityポリシーはOracle RAC環境に対応していますが、ファイアウォールの設定だけは例外です。ファイアウォール自体を無効にするか、Oracle RACでのファイアウォール設定の手順に従ってファイアウォールの設定をカスタマイズしてください。
Deep Security Managerのインストール時に使用する接続設定
Deep Security Managerのインストール時にデータベース接続の詳細を指定するように求められます。データベースのホスト名を [ホスト名] に入力し、Deep Security用に事前に作成したデータベースを [データベース名] に入力してください。
データベースメンテナンス
Deep Security環境の状態を正常に維持するには、データベースメンテナンスが不可欠です。
インデックスのメンテナンス
Deep Security Managerのパフォーマンスを向上させるには、Deep Securityデータベースでインデックスのメンテナンスを定期的に実行して、過度のフラグメント化を防止することをお勧めします。組織のベストプラクティスに従ってデータベースのインデックスを再作成するか、データベースベンダが提供する以下のドキュメントを参照してください。
- PostgreSQL:PostgreSQLのインデックス再作成コマンドの詳細については、https://www.postgresql.org/docs/10/sql-reindex.htmlを参照してください。このコマンドを実行すると一部の処理がブロックされるため、アップグレード時にオフラインで実行することをお勧めします。このコマンドを既存のスナップショットに対してオフラインで実行する場合、完了までに約45分かかります。
- Microsoft SQL: インデックスのメンテナンスのベストプラクティスについては、Microsoftの次のドキュメントを参照してください。https://docs.microsoft.com/en-us/sql/relational-databases/indexes/reorganize-and-rebuild-indexes
- Oracle Database: インデックスの管理に関するOracleのベストプラクティスに従ってください。たとえば、https://docs.oracle.com/cd/B28359_01/server.111/b28310/indexes002.htm#ADMIN11713を参照してください。
データベースのインデックス再作成に役立つスクリプトは、オープンソースのWebサイトでも提供されています。
バックアップ
Deep Securityデータベースで障害が発生した場合に備えて、バックアップ戦略を立てておくことが重要です。データベースのバックアップ方法については、必要に応じて、データベースベンダのドキュメントを参照してください。また、データベースの復元方法については、データベースのバックアップと復元を参照してください。