本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

AWSオートスケーリングとDeep Security

AWS自動スケーリングで作成された新しいインスタンスに対して、 Deep Securityの自動保護を設定できます。

自動スケーリングで作成された各インスタンスには、 Deep Securityエージェントがインストールされている必要があります。Agentのインストールには、AMIの作成に使用されたEC2インスタンスにインストール済みのAgentを組み込む方法と、AMIの起動設定にインストールスクリプトを組み込んでAgentをインストールする方法があります。それぞれのオプションにはメリットとデメリットがあります。

  • インストール済みAgentを組み込むと、Agentソフトウェアをダウンロードしてインストールする必要がなくなるため、インスタンスが稼働するまでの時間を短縮できます。欠点は、エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アクティベーション時のアップグレード機能を有効にします。
  • 配信スクリプトを使用してエージェントをインストールする場合は、 Deep Security Managerからエージェントソフトウェアの最新バージョンが常に取得されます。

Agentをプレインストールする

Deep Security Agentを設定済みのEC2インスタンスがある場合は、そのインスタンスを使用してオートスケーリング用のAMIを作成できます。AMIを作成する前に、EC2インスタンスのAgentを無効にし、インスタンスを停止する必要があります。

dsa_control -r

オートスケーリングで新規に作成された各EC2インスタンスでAgentを有効にし、ポリシーがまだない場合は適用する必要があります。これには次の2つの方法があります。

  • Agentを有効にしてポリシーを適用 (オプション) するインストールスクリプトを作成します。このインストールスクリプトをAWS起動設定に追加して、新しいインスタンスが作成されたときに実行されるようにします。手順については、この後の「インストールスクリプトでAgentをインストールする」を参照してください。ただし、インストールスクリプトの、Agentを取得してインストールするセクションは除外します。必要なのは、スクリプトのdsa_control -aセクションだけです。

    インストールスクリプトが機能するためには、Deep Security ManagerでAgentからの通信を有効にする必要があります。この設定の詳細については、Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護するを参照してください。

  • インスタンスの起動時および「コンピュータの作成 (システムによる)」イベント発生時にAgentを有効にしてポリシーを適用する (オプション) イベントベースタスクを、Deep Security Managerで設定することができます。

インストールスクリプトでAgentをインストールする

Deep Securityには、カスタマイズされた配置スクリプトを生成する機能があり、EC2インスタンスの作成時に実行できます。EC2インスタンスにインストール済みAgentが含まれていない場合は、インストールスクリプトでAgentをインストールして有効にし、ポリシーを適用し、オプションでコンピュータをコンピュータグループとRelayグループに割り当てる必要があります。

Deep Security APIを使用して、Agentのインストールを自動化するためのインストールスクリプトを生成できます。詳細については、「Generate an agent deployment script」を参照してください。

インストールスクリプトが機能するためには、以下の要件を満たす必要があります。

インストールスクリプトを使用してインスタンスの自動保護を設定するには

  1. Deep Security Managerにログオンします。
  2. 右上隅のサポートメニューから、配信スクリプトを選択します。
  3. プラットフォームを選択します。
  4. [インストール後にAgentを自動的に有効化] を選択します。
  5. 適切な [セキュリティポリシー][コンピュータグループ]、および [Relayグループ] を選択します。
  6. [クリップボードにコピー] をクリックします。
  7. AWS起動設定に移動し、[Advanced Details] を展開して [User Data] にインストールスクリプトを貼り付けます。
    AWSで [Advanced Details] 設定を起動する

Microsoft WindowsベースのAMIでPowerShellインストールスクリプトを実行する際に問題が発生した場合は、実行中のインスタンスからAMIを作成したことが原因である可能性があります。AWSでは実行中のインスタンスからAMIを作成できますが、そのAMIから作成されるインスタンスで起動時に実行されるEc2Configタスクがすべて無効になります。その結果、インスタンスはPowerShellスクリプトを実行できなくなります。

WindowsにAMIを作成する場合は、ユーザデータ処理を手動で、またはイメージ作成プロセスの一環として、再有効化する必要があります。ユーザデータ処理は、明示的に指定されていないかぎり、WindowsベースのAMIの最初の起動時にのみ実行される (最初の起動プロセスの実行中に無効になる) ため、カスタムAMIから作成されたインスタンスでは、この機能を再び有効にしないとユーザデータが実行されません。この機能をリセットする方法または最初の起動で無効にならないようにする方法については、「EC2Configサービスを使用したWindowsインスタンスの設定」で詳しく説明されています。EC2Configバージョン2.1.10以降を使用している場合は、<persist>true</persist> をユーザデータに組み込むのが最も簡単な方法です。

オートスケーリングの結果としてDeep Securityからインスタンスを削除する

Deep Security ManagerでAWSアカウントを追加すると、オートスケーリング後にAWSに存在しなくなったインスタンスはDeep Security Managerから自動的に削除されます。

AWSアカウントの追加の詳細については、AWSアカウントの追加についてを参照してください。