AWSオートスケーリングとDeep Security

AWS オートスケーリングで作成された新しいインスタンスに対して、Deep Securityで自動保護を設定できます。

オートスケーリングで作成された各インスタンスには、Deep Security Agentをインストールする必要があります。Agentのインストールには、AMIの作成に使用されたEC2インスタンスにインストール済みのAgentを組み込む方法と、AMIの起動設定にインストールスクリプトを組み込んでAgentをインストールする方法があります。それぞれのオプションにはメリットとデメリットがあります。

  • インストール済みAgentを組み込むと、Agentソフトウェアをダウンロードしてインストールする必要がなくなるため、インスタンスが稼働するまでの時間を短縮できます。
  • インストールスクリプトを使用してAgentをインストールする場合、スクリプトはDeep Security Managerから常に最新バージョンのAgentソフトウェアを取得します。インストール済みAgentを使用する場合は、AMIに組み込まれているバージョンが使用されます。

Agentをプレインストールする

Deep Security Agentを設定済みのEC2インスタンスがある場合は、そのインスタンスを使用してオートスケーリング用のAMIを作成できます。AMIを作成する前に、EC2インスタンスのAgentを無効にし、インスタンスを停止する必要があります。

dsa_control -r

有効化されたAgentを含むAMIは作成しないでください。各Agentは個別に有効化する必要があります。

オートスケーリングで新規に作成された各EC2インスタンスでAgentを有効にし、ポリシーがまだない場合は適用する必要があります。これには次の2つの方法があります。

  • Agentを有効にしてポリシーを適用 (オプション) するインストールスクリプトを作成します。このインストールスクリプトをAWS起動設定に追加して、新しいインスタンスが作成されたときに実行されるようにします。手順については、この後の「インストールスクリプトでAgentをインストールする」を参照してください。ただし、インストールスクリプトの、Agentを取得してインストールするセクションは除外します。必要なのは、スクリプトのdsa_control -aセクションだけです。

    インストールスクリプトが機能するためには、Deep Security ManagerでAgentからの通信を有効にする必要があります。この設定の詳細については、クラウドアカウント環境の通信方向を参照してください。

  • インスタンスの起動時および「コンピュータの作成 (システムによる)」イベント発生時にAgentを有効にしてポリシーを適用する (オプション) イベントベースタスクを、Deep Security Managerで設定することができます。

インストールスクリプトでAgentをインストールする

Deep Securityカスタマイズしたインストールスクリプトを生成して、EC2インスタンスの作成時に実行することができます。EC2インスタンスにインストール済みAgentが含まれていない場合は、インストールスクリプトでAgentをインストールして有効にし、ポリシーを適用し、オプションでコンピュータをコンピュータグループとRelayグループに割り当てる必要があります。

インスタンスでインストールスクリプトを実行するにはいくつかの方法があります。次に説明する方法ではAMIの起動設定にインストールスクリプトを追加しますが、Chef、Puppet、Ansibleなどのオーケストレーションツールを使用してスクリプトを実行する方法もあります。Windowsコンピュータの場合は、Microsoft GPOまたはMicrosoft System Centerを使用してスクリプトを実行することもできます。

インストールスクリプトが機能するためには、以下の要件を満たす必要があります。

  • 停止したコンピュータからAMIを作成する必要があります。
  • Deep Security ManagerでAgentからの通信を有効にする必要があります。詳細については、クラウドアカウント環境の通信方向を参照してください。

インストールスクリプトを使用してインスタンスの自動保護を設定するには

  1. Deep Security Managerにログオンします。
  2. 右上の [サポート情報] メニューで、[インストールスクリプト] を選択します。
  3. プラットフォームを選択します。
  4. [インストール後にAgentを自動的に有効化] を選択します。
  5. 適切な [セキュリティポリシー][コンピュータグループ]、および [Relayグループ] を選択します。
  6. [クリップボードにコピー] をクリックします。
  7. AWS起動設定に移動し、[Advanced Details] を展開して [User Data] にインストールスクリプトを貼り付けます。
    AWSで [Advanced Details] 設定を起動する

Microsoft WindowsベースのAMIでPowerShellインストールスクリプトを実行する際に問題が発生した場合は、実行中のインスタンスからAMIを作成したことが原因である可能性があります。AWSでは実行中のインスタンスからAMIを作成できますが、そのAMIから作成されるインスタンスで起動時に実行されるEc2Configタスクがすべて無効になります。その結果、インスタンスはPowerShellスクリプトを実行できなくなります。

WindowsにAMIを作成する場合は、ユーザデータ処理を手動で、またはイメージ作成プロセスの一環として、再有効化する必要があります。ユーザデータ処理は、明示的に指定されていないかぎり、WindowsベースのAMIの最初の起動時にのみ実行される (最初の起動プロセスの実行中に無効になる) ため、カスタムAMIから作成されたインスタンスでは、この機能を再び有効にしないとユーザデータが実行されません。この機能をリセットする方法または最初の起動で無効にならないようにする方法については、「EC2Configサービスを使用したWindowsインスタンスの設定」で詳しく説明されています。EC2Configバージョン2.1.10以降を使用している場合は、<persist>true</persist> をユーザデータに組み込むのが最も簡単な方法です。

オートスケーリングの結果としてDeep Securityからインスタンスを削除する

Deep Security ManagerでAWSアカウントを追加すると、オートスケーリング後にAWSに存在しなくなったインスタンスはDeep Security Managerから自動的に削除されます。

AWSアカウントの追加に関する詳細については、AWSクラウドアカウントの追加を参照してください。