Amazon EC2およびWorkSpacesへのAgentのインストール

Deep SecurityエージェントはAmazon WorkSpacesのWindowsデスクトップのみをサポートしています。Linuxデスクトップはサポートされていません。

既存のAmazon EC2インスタンスおよびAmazon WorkSpacesをDeep Securityで次のように保護できます:

  1. AWSアカウントをDeep Security Managerに追加する
  2. 通信方向を設定する
  3. 有効化の種類を設定する
  4. ポートを開く
  5. AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする
  6. エージェントのインストールとアクティベーションを確認
  7. ポリシーを割り当てる

代わりにエージェントが組み込まれた新しいAmazon EC2インスタンスやAmazon WorkSpacesを起動したい場合は、エージェントをAMIまたはWorkSpaceバンドルにインストールするを参照してください。

Amazon EC2 インスタンスを保護した後に Amazon WorkSpaces を保護するには、Amazon WorkSpacesを保護する (AWSアカウントをすでに追加している場合)を参照してください。

AWSアカウントをDeep Security Managerに追加する

AWSアカウントをDeep Security Managerに追加する必要があります。これらのAWSアカウントには、Deep Securityで保護したいAmazon EC2インスタンスとAmazon WorkSpacesが含まれています。

詳細については、AWSアカウントの追加についてを参照してください。

AWSアカウントを追加すると、次のようになります。

  • 既存のAmazon EC2インスタンスおよびAmazon WorkSpacesはDeep Security Managerに表示されます。エージェントがインストールされていない場合、ステータス未管理 (不明)となり、横に灰色のドットが表示されます。エージェントがすでにインストールされている場合、ステータス管理 (オンライン)となり、横に緑色のドットが表示されます。
  • このAWSアカウントでAWSを通じて起動する新しいAmazon EC2インスタンスまたはAmazon WorkSpacesは、Deep Security Managerによって自動検出され、コンピュータのリストに表示されます。

通信方向を設定する

通信方向をエージェント開始、マネージャ開始、または双方向のいずれかに設定する必要があります:

  1. Deep Security Managerにログインします。
  2. 通信方向を設定するには、通信方向を設定するに記載されている指示に従い、以下のガイドラインを考慮してください。
    • [Agent/Applianceから開始] では、Amazon EC2インスタンスまたはAmazon WorkSpacesで受信ポートを開く必要はありません。ただし、[双方向] および [Managerから開始] では開く必要があります。
    • [Agent/Applianceから開始] は、Amazon EC2インスタンスまたはAmazon WorkSpaceで受信ポートを開く必要がないため、最も安全なオプションです。
  3. Amazon WorkSpacesを使用していて、通信方向を双方向またはマネージャー開始に設定する場合、さらなる構成を進める前に、各WorkSpaceにエラスティックIPアドレスを手動で割り当ててください。これにより、WorkSpaceにDeep Security Managerが接続できるパブリックIPが割り当てられます。EC2インスタンスには既にパブリックIPアドレスが使用されているため、これは必要ありません。WorkSpacesはプライベートIPアドレスを使用します。

有効化の種類を設定する

アクティベーションは、エージェントをマネージャに登録するプロセスです。エージェントによるアクティベーションを許可するかどうかを指定する必要があります。許可しない場合は、マネージャによるアクティベーションのみが許可されます。

  1. Deep Security Managerにログインします。
  2. 上部の [管理] をクリックします。
  3. 左側で [システム設定] をクリックします。
  4. エージェントタブが選択されていることを確認してください。
  5. エージェントによるアクティベーションを許可を選択または選択解除し、次の点に留意してください:
    • Agentからのリモート有効化では、Amazon EC2インスタンスまたはAmazon WorkSpacesに対する受信ポートを開く必要はありません。ただし、Managerからのリモート有効化では開く必要があります。
    • Agentからのリモート有効化を有効にしても、Managerからのリモート有効化は引き続き機能します。
    • エージェントが開始したアクティベーションは、 Managerが開始したに通信方向を設定しても機能します。
  6. エージェントによるアクティベーションを許可を選択した場合は、クローンされたエージェントを再アクティベートおよび不明なエージェントの再アクティベートを有効化も選択してください。詳細については、Agentの設定を参照してください。
  7. [保存] をクリックします。
  8. Amazon WorkSpacesを使用していて、エージェントによる起動を許可していない場合は、各WorkSpaceに弾性IPアドレスを手動で割り当ててください。これにより、各Amazon WorkSpaceに他のコンピュータから接続可能なパブリックIPが割り当てられます。EC2インスタンスについては、既にパブリックIPアドレスを使用しているため、これは必要ありません。

ポートを開く

Amazon EC2インスタンスまたはAmazon WorkSpacesに必要なポートが開いていることを確認する必要があります。

  1. Amazon EC2に対するポートを次のように開きます。
    1. AWSマネジメントコンソールにログインします。
    2. [EC2]→[Network & Security]→[Security Groups] の順に選択します。
    3. EC2インスタンスに関連付けられたセキュリティグループを選択し、[Actions]→[Edit outbound rules] の順に選択します。
    4. 必要なポートを開いてください。詳細については、開放するポートを参照してください。
  2. Amazon WorkSpacesに対するポートを次のように開きます。
    1. Amazon WorkSpacesを保護しているファイアウォールソフトウェアに移動し、ポートを開いてください。

これで、 Deep Security AgentとDeep Security Managerが通信できるように必要なポートが開かれました。

開放するポート

通常:

  • エージェントからマネージャへの通信には、アウトバウンドTCPポート (デフォルトでは443または80) を開く必要があります
  • マネージャからエージェントへの通信には、インバウンドTCPポート (4118) を開く必要があります。

具体的には:

  • 通信方向をエージェント/アプライアンス開始に設定する場合、アウトバウンドTCPポート443または80を開いてください。
  • 通信方向をマネージャー開始に設定する場合、インバウンドTCPポート4118を開いてください。
  • 通信方向を双方向に設定する場合、アウトバウンドTCPポート443または80、およびインバウンドTCPポート4118の両方を開いてください。
  •  エージェントによるアクティベーションを許可を有効にした場合、通信方向に関係なく、アウトバウンドTCPポート443または80を開いてください。
  • エージェントによるアクティベーションを許可を無効にした場合、通信方向に関係なくインバウンドTCPポート4118を開いてください。

AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする

次のいずれかのオプションを使用して、Amazon EC2インスタンスおよびAmazon WorkSpacesにエージェントをデプロイする必要があります。

  1. デプロイメントスクリプトを使用して、インストール、アクティベート、およびポリシーの割り当てを行います。

    これは、多くのAmazon EC2インスタンスおよびAmazon WorkSpacesにエージェントを展開する必要がある場合に最適なオプションです。

    このオプションでは、Amazon EC2インスタンスまたはAmazon WorkSpacesでインストールスクリプトを実行する必要があります。このスクリプトはAgentをインストールして有効化し、ポリシーを割り当てます。詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。

  2. 手動でインストールしてアクティベート。

    これは、少数のEC2インスタンスとAmazon WorkSpacesにエージェントをデプロイする必要がある場合に最適なオプションです。次の操作を行う必要があります:

    1. Deep Security Agentソフトウェアを入手し、Amazon EC2インスタンスまたはAmazon WorkSpaceにコピーしてインストールします。詳細については、Deep Security Agentソフトウェアの入手エージェントをインストールするを参照してください。
    2. エージェントを有効化します。エージェント (エージェントによる有効化が有効になっている場合) またはDeep Security Managerで有効化できます。詳細については、Agentの有効化を参照してください。

Amazon EC2インスタンスまたはAmazon WorkSpaceにDeep Securityエージェントをインストールしてアクティベートしました。選択したオプションによっては、ポリシーが割り当てられている場合とそうでない場合があります。デプロイメントスクリプトを使用することを選択した場合、アクティベーション中にエージェントにポリシーが割り当てられました。エージェントを手動でインストールしてアクティベートすることを選択した場合、ポリシーは割り当てられていないため、ポリシーを割り当てる必要があります。

エージェントのインストールとアクティベーションを確認

エージェントが正しくインストールされ、アクティベートされたことを確認してください。

  1. Deep Security Managerにログインします。
  2. 上部の [コンピュータ] をクリックします。
  3. 左側で、Amazon EC2インスタンスまたはAmazon WorkSpaceがコンピュータ your_AWS_account > your_regionの下に表示されていることを確認します。WorkSpaces サブノード内のWorkSpacesを探します。
  4. メイン画面で、Amazon EC2インスタンスまたはAmazon WorkSpacesの [ステータス][管理対象 (オンライン)] で、緑色のドットが横に表示されていることを確認します。

ポリシーを割り当てる

デプロイスクリプトを実行してエージェントをインストールおよびアクティベートした場合は、この手順をスキップしてください。スクリプトはすでにポリシーを割り当てているため、これ以上の操作は必要ありません。

Agentを手動でインストールして有効化した場合は、Agentにポリシーを割り当てる必要があります。ポリシーを割り当てると、コンピュータが保護されるように必要な保護モジュールがAgentに送信されます。

ポリシーを割り当てるには、ポリシーをコンピュータに割り当てるを参照してください。

ポリシーを割り当てると、Amazon EC2インスタンスまたはAmazon WorkSpaceが保護されます。