Relayによるセキュリティとソフトウェアのアップデートの配布

Deep Security環境の最大限の保護を実現するには、次の2つのコンポーネントを定期的にアップデートする必要があります。ソフトウェアアップデートDeep Security Agentに新機能と機能強化を追加し、セキュリティアップデートは脅威に対する迅速な保護を提供します。

Deep Security Relayはこれらのアップデートの配布を最適化するために役立ちます。Relayは、他のAgentにソフトウェアアップデートとセキュリティアップデートを配布できるAgentです。Relayを使用することで、次のことができます。

  • アップデートトラフィックを形成することにより、WAN帯域幅のコストを削減します。
  • アップデート配布のための冗長性を提供します。

まずRelayの仕組みについて学び、次に使用するRelayの数を決定する方法について学び、最後に1つ以上のRelayを設定する方法について学びます。

必要に応じて、AgentからRelay機能を削除することもできます。

Relayの仕組み

Relayは、WAN接続を介して直接トレンドマイクロのアップデートサーバからセキュリティアップデートをダウンロードし、Deep Security Managerからソフトウェアアップデートをダウンロードします。Relayを使用する場合、セキュリティアップデートとソフトウェアアップデートは、WAN接続を介して一度だけダウンロードする必要があります。その後、Relayはアップデート配布センターとして機能し、Deep Security Managerによって指示されたときに、他のAgentによってセキュリティアップデートとソフトウェアアップデートがダウンロードされます。セキュリティアップデートと、Relayによるセキュリティアップデートの配布方法の詳細については、セキュリティアップデートの取得と配布を参照してください。

RelayはRelayグループにまとめられます。Relayをグループにまとめることで、アップデートの負荷が複数のRelayに分散され、Deep Security環境に冗長性が追加されます。

Relayグループは、配布階層の一部にすることもできます。Relayグループの配布階層を作成することで、以下の項目を指定してパフォーマンスと帯域幅の使用をさらに改善できます。

  • AgentがセキュリティアップデートとソフトウェアアップデートをダウンロードするRelayグループ
  • Relayグループがセキュリティアップデートとソフトウェアアップデートを互いにダウンロードする順序

使用するRelayの数を決定する

ベースラインとして、環境に少なくとも2つのRelayを使用することをお勧めします。ただし、次の項目に応じて追加のRelayを使用する必要がある場合もあります。

Agentの地域

Agentは、同じ地域のRelayグループからアップデートをダウンロードすることをお勧めします。複数の地域にAgentがある場合、各地域には少なくとも1つのRelayがある独自のRelayグループが必要です。

ネットワーク設定

ネットワーク設定では、AgentのネットワークセグメントとリモートDeep Security Managerまたはトレンドマイクロのアップデートサーバの間に、帯域幅の低いWAN接続、ルータ、ファイアウォール、またはプロキシが含まれる場合があります。これらの設定が原因で、ソフトウェアアップデートとセキュリティアップデートの配布が遅くなるボトルネックが発生する可能性があります。これらの設定の影響を軽減するには、各ネットワークセグメント内にRelayを配置する必要があります。

ネットワーク帯域幅の使用

Agentへのセキュリティアップデートとソフトウェアアップデートのダウンロードにより、ネットワークが集中的に使用される可能性があります。Relayを使用することで、どのようにネットワーク帯域幅を使用してアップデートを配布するかを決定できます。Relayをネットワークセグメント内に配置することで、Relayがそのセグメントのセキュリティアップデートとソフトウェアアップデートの単一のダウンロード元になります。その後、AgentはローカルRelayからアップデートするため、WAN接続からローカル内部接続にアップデートをダウンロードするために必要となる全体の帯域幅が削減されます。

サイジングの推奨設定

より多くのRelayを有効にする前に、Relayとして有効にするコンピュータがDeep Security Relayのシステム要件を満たしていることを確認してください。

ほとんどの環境では、冗長性のために少なくとも2つのRelayを配置することをお勧めします。RelayはDeep Security Managerと同じ場所に配置できます。ただし、前述のように、配置するRelayの数を決定する際には、地理的な位置、ネットワーク設定、およびネットワーク帯域幅などの要素も考慮する必要があります。環境内に多数のAgentがある場合は、Relayを専用のシステムに配置する必要があります。

次の場合も、Relayを追加できます。

  • 環境のネットワーク設定が変更された場合。
  • アップデートの配布に追加の冗長性を提供する必要がある場合。
ネットワーク上に不要なRelayを配置すると実際にはパフォーマンスが低下するため、必要な数のRelayのみを使用する必要があります。Relayには通常のAgentよりも多くのシステムリソースが必要です。

1つ以上のRelayを設定する

Relayを設定するには、次の手順を実行する必要があります。

  1. 1つ以上のRelayグループを作成する
  2. 1つ以上のRelayを有効にする
  3. AgentをRelayグループに割り当てる
  4. セキュリティアップデートとソフトウェアアップデートのためのRelay設定を指定する

1つ以上のRelayグループを作成する

すべてのRelayは、Relayグループに属する必要があります。Deep Security Managerのインストール中にDeep Security Relayをインストールした場合は、初期設定のRelayグループが自動的に作成されています。追加のRelayグループを作成することもできます。

各Agentは、割り当てられたグループ内のRelayがランダムに並べられたリストから、アップデートのダウンロードを試みます。特定のRelayからの応答がない場合、Agentはアップデートを正常にダウンロードできるまでリストから別のRelayを試します。このリストはAgentごとにランダムなため、アップデートの負荷はグループ内のRelayで均等に共有されます。

  1. [管理]→[アップデート]→[Relayの管理] に進みます。
  2. [Relayの管理] ウィンドウで、[新規Relayグループ...] をクリックします。表示された [Relayグループのプロパティ] 画面で、Relayグループの設定を指定します。
    • Relayグループの [名前] を入力します。
    • [アップデート元] を選択します。このアップデート元により、Relayグループがセキュリティアップデートをどこからダウンロードして配布するかが決まります。アップデート元には、次のいずれかを使用できます。
      • セキュリティアップデート元
        初期設定では、セキュリティアップデート元はトレンドマイクロのアップデートサーバですが、代わりにローカルミラーに設定できます。初期設定のRelayグループは、常にセキュリティアップデート元を使用します。詳細については、セキュリティアップデート元および設定を指定するを参照してください。
      • 親Relayグループ
        すでに他のRelayグループを作成している場合は、そのいずれかをアップデート元として使用するようにRelayグループを設定できます。

      Relayグループのアップデートダウンロード元を選択する際には、コストと速度の要件に最も適したダウンロード元を選択する必要があります。Relayグループが配布階層の一部である場合でも、セキュリティアップデート元からアップデートをダウンロードする方が安価または高速である場合は、必ずしも親グループのRelayからアップデートをダウンロードする必要はありません。

      非常に大規模な環境でのパフォーマンスを向上させるには、複数のRelayグループを作成し、階層内にRelayを配置します。1つ以上の第1レベルのRelayグループがトレンドマイクロのアップデートサーバからアップデートを直接ダウンロードしてから、第2レベルのRelayグループが第1レベルのグループからアップデートをダウンロードします。以降のレベルも同様です。ただし、各グループレベルで待ち時間が追加されるため、Relayグループのレベルが多すぎると、Relayによる帯域幅の最適化よりも合計待ち時間の影響が大きくなり、パフォーマンスが低下する可能性があります。
    • セキュリティアップデート元にアクセスするためにRelayが使用する必要がある、[アップデート元のプロキシ] (ある場合) を選択します。

      初期設定のRelayグループを除くすべてのRelayグループを、プロキシサーバ経由でセキュリティアップデートをダウンロードするように設定できます。初期設定のRelayグループは、Deep Security Managerと同じプロキシを使用します。プロキシの背後に配置されたAgentの接続および不正プログラム対策およびルールアップデート用にプロキシを設定する (CLI) を参照してください。

      Relayグループがセキュリティアップデート元を使用するように設定されている場合、Relayはこのプロキシを使用します。または、このRelayグループが別のRelayグループからセキュリティアップデートをダウンロードするように設定されている場合、Relayは親Relayグループに接続できない場合を除いてプロキシを使用しないため、セキュリティアップデート元への接続を試みます。

      Deep Security Agentバージョン10.0以前では、プロキシ経由でのRelayへの接続はサポートされていません。プロキシが原因でアプリケーションコントロールルールセットのダウンロードが失敗し、AgentがRelayまたはManager (Deep Security as a Serviceを含む) にアクセスするためにプロキシを必要とする場合は、次のいずれかの手順を実行する必要があります。
  3. Relayグループをさらに作成する必要がある場合は、上記の手順を繰り返します。

1つ以上のRelayを有効にする

  1. [管理]→[アップデート]→[Relayの管理] に進みます。
  2. Relayグループをクリックして選択します。
  3. [Relayの追加...] をクリックします。

  4. [使用可能なAgent] リストからコンピュータを選択し、[Relayを有効にしてグループに追加] をクリックします。検索フィールドを使用してコンピュータのリストをフィルタできます。

    コンピュータがRelayグループに追加され、Relayアイコン () が表示されます。

  5. コンピュータでWindowsファイアウォールまたはiptablesが有効になっている場合は、Relayの待機ポート番号への受信接続を許可するファイアウォールルールも追加します。
  6. Relayをプロキシ経由で接続する必要がある場合は、プロキシを経由してAgent、Appliance、Relayをセキュリティアップデートに接続するを参照してください。

    新たに有効化されたRelayには、セキュリティアップデートの内容を更新するように求める通知がManagerから自動的に送信されます。

AgentをRelayグループに割り当てる

Relayグループには手動でAgentを割り当てることや、イベントベースタスクを設定して自動的にAgentを割り当てることができます。

  1. Deep Security Managerで、[コンピュータ] に進みます。
  2. コンピュータを右クリックして、[処理]→[Relayグループの割り当て] の順に選択します。

    複数のコンピュータを割り当てるには、リスト内のコンピュータをShiftキーまたはCtrlキーを押しながらクリックし、[処理]→[Relayグループの割り当て] の順に選択します。

  3. 使用するRelayグループをリストから選択するか、[コンピュータの詳細] 画面の [アップデートのダウンロード元] を使用してRelayグループを選択します。

セキュリティアップデートとソフトウェアアップデートのためのRelay設定を指定する

Deep Security Managerは、[管理]→[システム設定]→[アップデート] 画面で、セキュリティアップデートとソフトウェアアップデートを実行するためにRelayが使用される方法に影響を与える追加の設定を提供しています。

セキュリティアップデート

  • 8.0および9.0のAgentのアップデートを許可: 必要に応じてこのオプションを選択します。Deep Security Manager 11.0では、ほとんどのプラットフォームでDeep Security Agent 9.0以前をサポートしないため、初期設定ではこれらのアップデートをダウンロードしません。サポート状況についてはDeep Security Agentのプラットフォーム を参照してください。
  • すべての地域のパターンファイルをダウンロード: マルチテナントモードで稼働していて、いずれかのテナントが他のリージョンにある場合は、このオプションを選択します。このオプションの選択を解除すると、RelayはDeep Security Managerがインストールされたリージョン (ロケール) のパターンファイルのみをダウンロードして配布します。
  • プライマリテナントのRelayグループを初期設定のRelayグループとして使用 (割り当てられていないRelay): プライマリテナントのRelayグループを使用します。初期設定では、他のテナントは、プライマリテナントのRelayにアクセスできます。この場合、テナントに独自のRelayを設定する必要はありません。他のテナントがプライマリテナントのRelayを共有しないようにするには、このオプションの選択を解除し、他のテナント用の別のRelayを作成します。
    このオプションの選択が解除されている場合、[管理]→[アップデート]→[Relayグループ] の順にクリックすると、Relayグループ名は「プライマリテナントのRelayグループ」ではなく「初期設定のRelayグループ」になります。
    この設定は、マルチテナントモードを有効にしている場合のみ表示されます。

その他のセキュリティアップデートの設定の詳細については、セキュリティアップデートの取得と配布を参照してください。

ソフトウェアアップデート

  • [Deep Security Managerにアクセスできない場合、トレンドマイクロのダウンロードセンターからのソフトウェアアップデートのダウンロードをRelayに許可] オプションは、Deep Security Managerをエンタープライズ環境に展開し、クラウド環境でコンピュータを管理している場合に役立ちます。このオプションを有効にしてクラウド内にRelayを設定すると、そのRelayはダウンロードセンターから直接ソフトウェアアップデートを入手できるようになります。ソフトウェアを手動でアップグレードしたり、クラウドからエンタープライズ環境へのポート番号を開いたりする必要はありません。

その他のソフトウェアアップデートの設定の詳細については、アップグレードについてを参照してください。

AgentからRelay機能を削除する

次の場合に、Relay有効化済みAgentからRelay機能を削除できます。

  • 環境内にRelay有効化済みAgentが多すぎるため、通信速度が遅くなった場合。
  • AgentがインストールされているコンピュータがRelay機能のための最小システム要件を満たしていない場合。

Deep Securityは、Deep Security Virtual Applianceで保護された仮想マシンをvMotionにより移行する際に、Relayを使用してデータを保存します。環境内でvMotionを使用して仮想マシンを移行している場合、特定のAgentからRelay機能を削除すると、移行対象の仮想マシンに対する保護が失われ、Virtual Applianceのセキュリティイベントも失われる可能性があります。

Relay機能を削除する手順は、Agentバージョンが10.2以降10.1以前かによって異なります。

10.2以降

  1. [管理]→[アップデート]→[Relayの管理] に進みます。
  2. Relay機能を削除するコンピュータがあるRelayグループの横の矢印をクリックします。
  3. コンピュータをクリックし、[Relayの削除] をクリックします。

    Agentのステータスが「無効化しています」に変わり、Relay機能がAgentから削除されます。

    Relay機能がAgentから削除されるまでに、最大で15分かかる場合があります。Agentがこれよりも大幅に長く「無効化しています」状態になっている場合は、Agentを無効化してから再有効化し、AgentからのRelay機能の削除を完了します。

10.1以前

Deep Security Managerで多要素認証を使用する場合は、処理を続行する前に多要素認証を一時的に無効にする必要があります。手順については、多要素認証の設定を参照してください。
  1. Deep Security Managerで [管理]→[システム設定]→[詳細] の順に選択し、[SOAP WebサービスAPI] セクションで [有効 - WSDLへのアクセス:] をクリックし、[保存] をクリックします。
  2. 次の場所からRelayの無効化ツールをダウンロードします: https://s3.amazonaws.com/customerscripts/Deep-Security-Disable-Relays.exe
  3. このツールを、Deep Security Managerがインストールされているコンピュータと通信できる任意のWindowsコンピュータで実行します。
  4. ツールからのプロンプトに対し、Deep Security ManagerのIPアドレスとポート、および管理者のユーザ名とパスワードを入力します。
  5. Deep Security as a ServiceまたはマルチテナントのDeep Security Managerを使用している場合は、テナント名も入力する必要があります。
  6. ツールがDeep Security Managerと通信するために必要な情報を入力したら、[OK] をクリックします。
  7. Relayの無効化ツールで取得されたリストから、Relay有効化済みAgentをダウングレードするサーバをすべて選択し、左下の [選択したホストでRelayを無効化] をクリックします。
  8. ツールを開いたまま [Relayリストの更新] をクリックすると、ダウングレードの進行状況を確認できます。選択したサーバのAgentをすべてダウングレードするには、最大で15分程度かかります。
  9. Relay有効化済みAgentが通常のAgentにダウングレードされてRelayの無効化ツールのサーバリストに表示されなくなったら、そのAgentの次の場所からRelayファイルを削除する必要があります。
    • Windows: C:\ProgramData\Trend Micro\Deep Security Agent\relay
    • Linux: /var/opt/ds_agent/relay