Deep Security Managerで使用するデータベースの準備

Deep Security Managerをインストールする前に、Deep Security Managerで使用するデータベースとユーザアカウントを準備する必要があります。データベースのインストールおよび使用手順については、データベースプロバイダのドキュメントを参照してください。ただし、Deep Securityとの統合に関して、次の点にも注意してください。

  1. ハードウェアに関する注意事項を確認します。
  2. データベースの種類を選択します。サポートされるデータベースのリストについては、「データベース」を参照してください。

    選択したデータベースに応じて、Microsoft SQL ServerOracle Database、またはPostgreSQLの推奨設定を参照してデータベース固有の注意事項を確認してください。

    Microsoft SQL Server Expressは、限られた構成でのみサポートされます。詳細については、Microsoft SQL Server Expressに関する注意事項を参照してください。
  3. 高可用性については、Deep Securityデータベースは、データベーススキーマを変更していなければ、データベースのフェイルオーバ保護に対応しています。たとえば、一部のデータベース複製テクノロジでは、複製時にデータベーステーブルに列が追加され、重大なエラーとなる可能性があります。そのため、データベース複製ではなくデータベースミラーを使用することを推奨します。
  4. データベースの時刻は、Deep Security Managerのコンピュータの時刻と同期する必要があります。データベースとManagerが同じタイムゾーンを使用し、時刻を同じタイムソースに同期していることを確認します。
  5. Deep Security Managerのコンピュータからデータベースのコンピュータへの通信を許可します。ポート番号を参照してください。
  6. Deep Security Managerのインストール時にデータベース接続の詳細を指定するように求められます。データベースのホスト名を [ホスト名] に入力し、Deep Security用に作成済みのデータベースを [データベース名] に入力してください。

    インストールではSQL認証とWindows認証の両方がサポートされます。Windows認証を使用する場合は、[詳細] ボタンをクリックすると他のオプションが表示されます。

  7. データベースメンテナンスは、Deep Security処理の重要な一部です。

ハードウェアに関する注意事項

専用のサーバ

データベースは、Managerノードから独立した専用のサーバにインストールします。また、データベースとDeep Security Managerを1GbpsのLAN接続を使用する同じネットワーク上に配置して、両者間の通信が妨げられずに確実に行われるようにすることも重要です (WAN接続は推奨されません)。これは、Deep Security Managerノードを追加する場合にも該当します。Deep Security Managerからデータベースへの接続の待ち時間は、2ミリ秒以内が推奨されます。

そのためには、Managerとデータベースを仮想マシンにインストールする場合に、それらが必ず同じESXiホストで実行されるようにしてください。

  1. vCenter Web Clientで、[Host and Clusters] に移動してクラスタを選択します。
  2. [Manage] タブに移動して、[VM/Host Rules]→[Add] をクリックします。
  3. ルールの名前を入力します。
  4. [Enable rule] を選択します。
  5. [Type][Keep Virtual Machines Together] を選択します。
  6. [Add] をクリックし、Managerとデータベースの仮想マシンを選択します。

ハードウェアに関する推奨事項

アップデートや推奨設定の検索など、Deep Security Managerの処理の多くは、多くのCPUリソースとメモリリソースを必要とします。大規模な環境の場合、トレンドマイクロでは、各Managerノードに4コアおよび十分なメモリを持たせることを推奨します。

データベースは、最適なDeep Security Managerノードの仕様と同等か、それ以上のハードウェアにインストールしてください。十分なパフォーマンスのためには、データベースに8~16GBのメモリと、ローカルまたはネットワーク接続されたストレージへの高速アクセスが必要です。可能であれば、最適なデータベースサーバの設定と実施されるメンテナンス計画について、データベース管理者に確認してください。

Microsoft SQL Server

一般的な要件

  • Deep Securityで使用される空のデータベースを作成する必要があります。
  • 「リモートTCP接続」を有効にします (https://msdn.microsoft.com/en-us/library/bb909712(v=vs.120).aspxを参照してください)。
  • Deep Security Managerのデータベースユーザにdb_owner権限を付与します。

Microsoft SQL Serverを使用する場合は、Deep Security ManagerがMicrosoft Active DirectoryドメインまたはSQLユーザとして接続する必要があります。Windowsのワークグループ認証はサポート対象外になりました。

また、SQL Serverドメイン認証の問題も参照してください。

トランスポートプロトコル

  • サポートされているトランスポートプロトコルは、新しくインストールされたDeep Security 10.2以降のバージョンの場合はTCPです。
  • Deep Security 10.1または以前のバージョンからアップグレードしていて、名前付きパイプをトランスポートプロトコルとして使用している場合、Managerはアップグレード時に引き続き名前付きパイプを使用します。トレンドマイクロでは、TCPを使用して通信を暗号化することをお勧めします(Deep Security Managerとデータベース間の通信の暗号化を参照してください)。

マルチテナントを使用する場合

  • メインデータベース名を短くします。これにより、テナントのデータベース名が読み取りやすくなります(たとえば、メインデータベースが「MAINDB」の場合、最初のテナントのデータベース名は「MAINDB_1」、2番目のテナントのデータベース名は「MAINDB_2」になります (以下同様))。
  • Deep Security Managerのデータベースユーザアカウントにdbcreator権限を付与します。マルチテナントについては、マルチテナント環境の設定を参照してください。

データベースメンテナンス

適切なデータベースメンテナンス戦略を整えることが重要です。「メンテナンスプラン用のデータベースのバックアップタスクのオプション」など、Microsoft SQL Serverのドキュメントを参照してガイドラインを確認してください。

Oracle Database

  • 「Oracle Listener」サービスを開始します。TCP接続が許可されていることを確認します。
  • Deep Security Managerのデータベースユーザ名に特殊文字は使用しないでください。Oracleでは、引用符で囲めばデータベースユーザオブジェクトの設定時に特殊文字を使用できますが、Deep Securityでは、データベースユーザの特殊文字がサポートされていません。
  • Deep Security ManagerのデータベースユーザにCONNECTロールとRESOURCEロール、およびUNLIMITED TABLESPACECREATE SEQUENCECREATE TABLECREATE TRIGGERの各権限を付与します。

    マルチテナントを使用する場合は、Deep Security ManagerのデータベースユーザにCREATE USERDROP USERALTER USERGRANT ANY PRIVILEGEGRANT ANY ROLEの権限も付与します。

    Oracleコンテナデータベース (CDB) の設定は、Deep SecurityManagerのマルチテナントではサポートされません

Oracle RAC (Real Application Clusters) のサポート

Deep Securityでは次の構成がサポートされます。

  • SUSE Linux Enterprise Server 11 SP3とOracle RAC 12c Release 1 (v12.1.0.2.0)
  • Red Hat Linux Enterprise Server 6.6とOracle RAC 12c Release 1 (v12.1.0.2.0)

初期設定のLinux Server Deep SecurityポリシーはOracle RAC環境に対応していますが、ファイアウォールの設定だけは例外です。ファイアウォール自体を無効にするか、Oracle RACでのファイアウォール設定の手順に従ってファイアウォールの設定をカスタマイズしてください。

データベースメンテナンス

Deep Security環境の状態を正常に維持するには、データベースメンテナンスが不可欠です。

インデックスのメンテナンス

Deep Security Managerのパフォーマンスを向上させるには、Deep Securityデータベースでインデックスのメンテナンスを定期的に実行して、過度のフラグメント化を防止することをお勧めします。組織のベストプラクティスに従ってデータベースのインデックスを再作成するか、データベースベンダが提供する以下のドキュメントを参照してください。

このタスクに役立つスクリプトは、オープンソースのWebサイトでも提供されています。

バックアップ

Deep Securityデータベースで障害が発生した場合に備えて、バックアップ戦略を立てておくことが重要です。データベースのバックアップ方法については、必要に応じて、データベースベンダのドキュメントを参照してください。また、データベースの復元方法については、データベースのバックアップと復元を参照してください。