ネットワークトラフィックを検査するためにNetwork Security AMIインスタンスを手動で作成するには、次の各タスクを順番に完了してください。
注意
注意
オプション1: エッジ保護展開を手動で展開する場合は、次の手順に従ってください。

1. Create security groups 親トピック

Network Securityには最低2つのセキュリティグループが必要です。これらのセキュリティグループは、ENIを作成する際に使用されます。セキュリティグループの詳細はこちら
EC2ダッシュボードからセキュリティグループまでスクロールし、[Create security group]をクリックします。
[Management security group]
このセキュリティグループをNetwork Security管理ポートに使用します。
  • [Security Group Name:]Management security group を入力してください。
  • [Description:]Allows you to access Network Security from the CLI and the Network Security management interfaceを入力してください。
  • [VPC:] Inspection VPCを選択します。
管理グループを選択し、Inbound RulesおよびOutbound Rulesタブまでスクロールして、[Edit Rules]をクリックしてこれらの必要なルールを追加します。
[Inbound rules]
種類
プロトコル
ポート範囲
アップデート元
説明
SSH
TCP
22
<IP or CIDR addresses that need access to the management port for the Network Security instance>
Network SecurityにSSH接続し、CLIでインスタンスを管理できます
[Outbound rules]
注意
注意
このグループのOutbound Rulesは、すべてのポートのすべての宛先に対してすべてのトラフィックを許可することをお勧めします。
種類
プロトコル
ポート範囲
アップデート元
説明
すべてのトラフィック
すべて
すべて
0.0.0.0/0
すべてのポートのすべての宛先へのすべてのトラフィックを許可
[Traffic security group]
このセキュリティグループをNetwork Securityデータポートに使用してください。AWSはデータポートを通過するすべてのトラフィックをインバウンドトラフィックと見なすため、ネットワーク内部からの接続のみを検査する場合でも、インターネットからのインバウンドトラフィックルールを許可する必要があります。
以下に記載されているインバウンドルールとOutbound Rulesは、セキュリティGroupに必要な最低限のルールです。ネットワーク環境に必要な追加ルールを追加してください。ただし、このセキュリティGroupのインバウンドルールとOutbound Rulesが同じであることを確認してください。
  • [Security Group Name:]Traffic security groupを入力してください。
  • [Description:]Allows all inbound traffic from the internetを入力してください。
  • [VPC:] Inspection VPCを選択します。
注意
注意
このセキュリティGroupはできるだけオープンに保ち、Workload EC2インスタンスにアタッチされたセキュリティGroupを使用してトラフィックを制限することをお勧めします。
[Inbound rules]
種類
プロトコル
ポート範囲
アップデート元
説明
すべてのトラフィック
すべて
すべて
0.0.0.0/0
ネットワークの内外から発信されるすべてのトラフィックを許可します
[Outbound rules]
種類
プロトコル
ポート範囲
アップデート元
説明
すべてのトラフィック
すべて
すべて
0.0.0.0/0
ネットワークの内外から発信されるすべてのトラフィックを許可します

2. IAMポリシーとRoleを作成する 親トピック

IAMポリシーを作成し、それをIAMロールにアタッチします。このIAMポリシーとロールは、Network SecurityインスタンスがCloudWatchにメトリクスを送信することを許可します。IAMロールの作成について詳しくはこちら
[Create policy]

手順

  1. IAMダッシュボードに移動します。
  2. [Policies]をクリックし、次に[Create policy]をクリックします。
  3. JSONタブをクリックし、次に以下の権限をコピーして貼り付けてください。
    {
"Version": "2012-10-17",
"Statement":[
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:*",
"Effect": "Allow"
},
{
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Effect": "Allow"
}
]
}
  4. [Review Policy]をクリックし、[Create policy]をクリックする前に次のパラメータを入力してください。
    • [Name:]CloudWatch_logs_policy
    • [Description:]Allows CloudWatch to track metric data
  5. ロールを作成してポリシーをアタッチする
    ポリシーを作成した後、ロールを作成し、そのロールにCloudWatchログポリシーをアタッチします。
    1. Policiesの上にある[Roles]をクリックし、次に[Create role]をクリックします。
    2. [AWS service]を選択し、このRoleを使用するサービスに対して[EC2]を選択します。
    3. [Next: Permissions]をクリックし、作成したばかりの[CloudWatch_logs_policy]を選択します。
    4. オプションでタグを追加し、[Next: Review]をクリックします。
    5. Role名にCloudWatch_logsを入力し、[Create role]をクリックします。

3. S3 VPCエンドポイントポリシーを変更する 親トピック

このセクションは、S3 VPCエンドポイントを使用する同じVPCにNetwork Securityインスタンスをデプロイする予定のユーザにのみ適用されます。エンドポイントのポリシーを変更して、Network Security Virtual ApplianceがS3バケット内のファイルにアクセスできるようにする必要があります。

手順

  1. VPCダッシュボードに移動し、[Endpoints]をクリックします。
  2. Network Securityインスタンスを起動する予定のVPCエンドポイントを選択してください。
  3. エンドポイントのリストの下にある[Policy]タブを選択してください。
  4. [Edit Policy]をクリックし、次のテキストを既存のポリシーステートメントに追加してください。
     "Statement": [
  {
    "Sid": "NetworkSecurityPolicy",
    "Effect": "Allow",
    "Principal": "\*",
    "Action": [
      "s3:GetObject",
      "s3:GetObjectVersion",
      "s3:PutObject",
      "s3:PutObjectAcl"
    ],
    "Resource": [
      "arn:aws:s3:::network-security-\*",
      "arn:aws:s3:::network-security-\*/\*"
    ]
  }
 ]
  5. [保存]をクリックしてください。

4. Network Securityインスタンスを作成 親トピック

各AZにWorkload VPCがある場合は、各AZに少なくとも1つのNetwork Securityインスタンスを作成してください。

手順

  1. Network Security AMIsに移動します。あるいは、以下の手順に従ってNetwork Security AMIsを手動で検索してください。
    1. EC2ダッシュボードに移動します。
    2. 画像の下で、[AMIs]を選択します。
    3. 起動のドロップダウンメニューで、[Public images]を選択します。
    4. ページ上部の検索バーにOwner : 511311637224と入力してください。
  2. 表示されるリストから最新のAMIバージョンを選択してください。
    [NOTE]
    最新バージョンは、最も番号が大きいAMIです。例えば、IPS_AMI--2020.10.0.10702はIPS_AMI--2020.10.0.10605よりも新しいです。
  3. 正しいAMIを選択した後、[Launch]をクリックしてください。
  4. インスタンスタイプを選択してください。トレンドマイクロはc5.xlargeインスタンスタイプの使用を推奨します。c5.xlargeインスタンスは、1Gbpsの持続速度でトラフィックを検査でき、ほとんどの検査ニーズをサポートします。
    より大きなインスタンスサイズを選択して、より多くの検査ニーズに対応してください。テストによると、インスタンスのレートはインスタンスのサイズに比例してスケールします。c5nインスタンスは、同じサイズの通常のc5インスタンスの4倍の持続レートを持っています。例えば、c5.xlargeインスタンスが1Gbpsのトラフィックを検査できる場合、c5n.xlargeは4Gbpsを検査できます。
  5. Configure Instance Detailsページで次の情報を設定します。
    指定がない場合は、デフォルト設定のままにしてください。
    • [Network:] Inspection VPCを選択します。
    • [Subnet:] 管理サブネットを選択してください。
    • [Auto-assign Public IP:] を選択し、[Disable] を選択します。
    • [IAM role:] IAMロールの作成で作成したIAM Roleを選択します。
    • [Shutdown behavior:] を選択 [停止]
    • [Network interfaces:] AWSによって自動的に作成されるeth0を唯一のネットワークインターフェイスとして残します。
    • [Advanced details user data]: 次のテキストをコピーして貼り付けてください。
      # -- START VTPS CLOUDWATCH
      log-group-name < Name your CloudWatch Log Group Here >
      # -- END VTPS CLOUDWATCH
  6. Add Storageページで、サイズに24GiBを選択し、ボリュームタイプにGeneral Purpose SSDを選択してください。
  7. セキュリティGroupの設定ページで、[Select an existing security group]をクリックし、作成した管理セキュリティGroupを選択します。
  8. 入力した情報を確認し、[Launch]を選択してインスタンスを作成してください。
  9. インスタンスを起動した後、SSHキーを選択または作成してください。

5. Elastic Network Interfacesを作成 親トピック

管理ポートは、SSHまたはHTTPSに接続するためにAWSで自動的にeth0として作成されます。Network Securityは、各インスタンスに対して追加の2つのポート、1Aおよび1Bを使用します。これらのポートを追加するには、2つの新しいENIを作成し、それらをNetwork Securityインスタンスにアタッチします。弾力的なネットワークインターフェイスについて詳しくはこちら

手順

  1. EC2ダッシュボードから、[Network Interfaces](ネットワークとセキュリティの下) をクリックします。
  2. [Create Network Interface] をクリックして、1Aポートeth1を作成します。
    次のパラメータを入力してください。
    • [Description:]eth1
    • [Subnet:] [Inspection subnet]を選択してください。
    • [IPv4 Private IP:]の設定を[Auto-assign]のままにする。
      注意
      注意
      ポートに自動的に割り当てられるIPv4 IPをメモしておいてください。展開プロセスの後でこれが必要になります。
    • [Security groups:] [Traffic security group]を選択してください。
  3. 次に、[Create Network Interface]を再度クリックして、1Bポートeth2を作成します。
    次のパラメータを入力してください。
    • [Description:]eth2
    • [Subnet:] [Protected-public subnet]を選択してください。
    • [IPv4 Private IP:][Auto-assign]に設定したままにします。
      [NOTE]
      ポートに自動的に割り当てられるIPv4 IPをメモしておいてください。展開プロセスの後でこれが必要になります。
    • [Security groups:] [Traffic security group]を選択してください。
  4. [Stop any Network Security instances you created before you attach the ENIs.]
  5. EC2ダッシュボードからインスタンスに移動し、Create Network Security instancesで作成したNetwork Securityインスタンスを選択します。
  6. [Actions][Networking][Attach Network Interface]をクリックし、1AポートENI、[eth1]をNetwork Securityインスタンスに接続します。
  7. 前の手順を繰り返して、1BポートENI、[eth2]、をNetwork Securityインスタンスに接続します。
  8. ENIが接続された後、Network Securityインスタンスを再起動してください。
  9. Network Interfacesページに戻ってください。
  10. eth1を右クリックし、[Change Source/Dest. Check]をクリックして、[Disable]を選択します。
  11. 上記の手順を繰り返して、eth2の送信元/宛先チェックも無効にします。送信元および宛先チェックの詳細はこちら

6. 追加のNetwork Security設定を構成する 親トピック

残りの構成要件を完了してください。これらのConfiguration Settingsは仮想セグメントを作成し、インスタンスをNetwork Security管理インターフェイスに登録し、高可用性を設定した場合に使用されるCloudWatchメトリクスを作成します。
このタスクを完了するために次の情報が必要です。
コンポーネント
説明
1AポートIPアドレス
1A、eth1のために自動生成されたIPv4プライベートIPアドレス。
インスペクションサブネットCIDRプレフィックス長
検査サブネットCIDRブロックのスラッシュ後の10進数。
1BポートIPアドレス
1B、eth2のために自動生成されたIPv4プライベートIPアドレス。
サニタイズされたサブネットCIDRプレフィックス長
サニタイズされたサブネットCIDRブロックのスラッシュ後の10進数。
Trend Micro Cloud Oneアプライアンス展開トークン
Trend Micro Cloud Oneアプライアンス展開トークンはNetwork Security管理インターフェース用です。
VPC CIDR
VPC CIDRブロック番号。

手順

  1. インスタンスにSSHで接続します。
  2. 次のコマンドを実行してください。
     edit  
 virtual-segments  
 virtual-segment "cloud formation"  
 delete route all  
 route 0.0.0.0/0 <Gateway IP Address of Inspection Subnet>  
 route <VPC CIDR> <Gateway IP Address of Protected-Public Subnet>  
 exit  
 commit  
 exit  
 
 high-availability  
 cloudwatch-health period 1  
 commit  
 exit  
 
 exit  
 save-config -y  
 cloudone register <deployment-token>

7. トラフィックを検査のためにルーティングする 親トピック

Network Securityインスタンスのセットアップが完了したら、ネットワークトラフィックがインスタンスを通過して検査されるようにルーティングします。展開オプションに応じて適切なルートテーブルを使用してください。
既に作成したルートテーブルを、VPC内の各AZのルートテーブルに合わせて変更してください。これにより、トラフィックがNetwork Securityを通過して検査されます。
[VPC access route table]
配信先
対象
<VPC CIDR>
ローカル
<protected-public subnet CIDR
[eni-1A]
[保護されたパブリックルートテーブル]
配信先
対象
<VPC CIDR>
ローカル
0.0.0.0/0
[eni-1B]
[Protected-private route table]
配信先
対象
<VPC CIDR>
ローカル
0.0.0.0/0
NATゲートウェイ
[ON PREM CIDRs]
[eni-1B]
[Management route table]
配信先
対象
<VPC CIDR>
ローカル
0.0.0.0/0
NATゲートウェイ
[ON PREM CIDRs]
[eni-1B]
[Detailed image]
以下の画像は、Network Securityインスタンスを挿入した後のネットワーク環境の詳細なビューです。
scenario1_route_table_am=1e894d1d-dac2-4494-9d50-83b99755ee65.png