Amazon EC2およびWorkSpacesへのAgentのインストール

Deep Security AgentはAmazon WorkSpaces Windowsデスクトップのみをサポートします.WindowsデスクトップはLinuxデスクトップをサポートしていません。

既存の Amazon EC2インスタンスとAmazon WorkSpacesで Workload Securityを保護する場合は、このページをお読みください。

ただし、次の場合にはそれぞれの手順に従ってください。

既存のAmazon EC2インスタンスと Workload Securityを使用するAmazon WorkSpacesを保護するには、次の手順を実行します。

  1. Workload Security
  2. 有効化の種類を設定する
  3. ポートを開く
  4. AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする
  5. Agentが適切にインストールされ有効化されたことを確認する
  6. ポリシーを割り当てる

Workload Security

AWSアカウントを Workload Securityに追加する必要があります。これらのAWSアカウントには、 Workload Securityで保護するAmazon EC2インスタンスとAmazon WorkSpacesが含まれます。

詳細については、 AWSアカウントの追加について を参照してください。

AWSアカウントを追加すると、次のようになります。

  • 既存のAmazon EC2インスタンスとAmazon WorkSpacesが Workload Security コンソールに表示されます。エージェントがインストールされていない場合は、aと表示されます。未管理(未知)のステータスそれらの横に灰色の点が表示されます。エージェントがすでにインストールされている場合、エージェントはaと表示されます。管理対象(オンライン)のステータスそれらの隣に緑のドットが表示されます。
  • このAWSアカウントでAWS経由で起動する新しいAmazon EC2インスタンスまたはAmazon WorkSpacesは、 Workload Security によって自動検出され、コンピュータのリストに表示されます。

有効化の種類を設定する

「有効化」は、AgentをManagerに登録するプロセスです。Agentからのリモート有効化を許可するかどうかを示す必要があります。許可しない場合は、Managerからの有効化のみが許可されます。

  1. Workload Security コンソールにログインします。
  2. 上部の [管理] をクリックします。
  3. 左側で [システム設定] をクリックします。
  4. メイン画面で [Agent] タブが選択されていることを確認します。
  5. [Agentからのリモート有効化を許可] をオンまたはオフにし、次の点に注意します。
    • Agentからのリモート有効化では、Amazon EC2インスタンスまたはAmazon WorkSpacesに対する受信ポートを開く必要はありません。ただし、Managerからのリモート有効化では開く必要があります。
    • Agentからのリモート有効化を有効にしても、Managerからのリモート有効化は引き続き機能します。
  6. [Agentからのリモート有効化を許可] を選択した場合は、[クローンAgentの再有効化] および [不明なAgentの再有効化] を選択します。詳細については、「Agentの設定」を参照してください。
  7. [保存] をクリックします。
  8. Amazon WorkSpacesを使用し、[Agentからのリモート有効化]を許可しなかった場合は、このページの以降の手順を続行する前に、Elastic IPアドレスを各WorkSpaceに手動で割り当てます。これにより、他のコンピュータで接続可能なパブリックIPが各Amazon WorkSpaceに付与されます。EC2インスタンスはパブリックIPアドレスをすでに使用しているため、この操作は必要ありません。

ポートを開く

Amazon EC2インスタンスまたはAmazon WorkSpacesで必要なポートが開いていることを確認する必要があります。

ポートを開くには:

  1. Amazon EC2に対するポートを次のように開きます。

    a. Amazon Web Services Consoleにログインします。
    b. EC2>ネットワーク&セキュリティ>セキュリティグループに移動します。
    c. EC2インスタンスに関連付けられているセキュリティグループを選択し、[ Actions ]→[ Edit outbound rules]の順に選択します。
    d. 必要なポートを開きます。次の「開くポート」を参照してください。

  2. Amazon WorkSpacesに対するポートを次のように開きます。

    a. Amazon WorkSpacesを保護しているファイアウォールソフトウェアにアクセスし、上記のポートを開きます。

これで、 Deep Security Agentおよび Workload Security が通信できるように、必要なポートが開かれました。

開くポート

一般:

  • エージェント間通信では、送信TCPポート(初期設定では443または80)を開く必要があります。
  • ManagerからAgentへの通信では、受信TCPポート (4118) を開く必要があります。

詳細:

  • Agentからのリモート有効化を許可する場合は、送信 TCPポート(初期設定では443または80)を開く必要があります。
  • Agentからのリモート有効化を許可を無効にした場合は、受信 TCPポート4118を開く必要があります。

AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする

AgentをAmazon EC2インスタンスおよびAmazon WorkSpacesにインストールする必要があります。オプションは次のとおりです。

  • オプション1: インストールスクリプトを使用して、ポリシーをインストール、有効化、および割り当てる

    Agentを多数のAmazon EC2インスタンスおよびAmazon WorkSpacesにインストールする必要がある場合は、オプション1を使用します。

    このオプションでは、Amazon EC2インスタンスまたはAmazon WorkSpacesでインストールスクリプトを実行する必要があります。このスクリプトはAgentをインストールして有効化し、ポリシーを割り当てます。詳細については、「インストールスクリプトを使用したコンピュータの追加と保護」を参照してください。

    または

  • オプション2: 手動でインストールして有効化する

    AgentをインストールするEC2インスタンスおよびAmazon WorkSpacesが少ない場合は、オプション2を使用します。

    a. Deep Security Agentソフトウェアを入手し、Amazon EC2インスタンスまたはAmazon WorkSpaceにコピーしてインストールします。詳細については、「Deep Security Agentソフトウェアの入手」「Deep Security Agentの手動インストール」を参照してください。

    b. エージェントをアクティベートします。エージェント(エージェント起動アクティベーションが有効化されている場合)または Workload Securityでアクティベーションを実行できます。詳細については、 エージェントのアクティベーションを参照してください。

これで、Amazon EC2インスタンスまたはAmazon WorkSpaceにDeep Security Agentがインストールされ、有効化されました。ポリシーは、選択するオプションに応じて割り当てられるかどうかが異なります。オプション1 (インストールスクリプトを使用) を選択した場合、ポリシーは有効化中にAgentに割り当てられます。オプション2 (Agentを手動でインストールして有効化) を選択した場合、ポリシーは割り当てられません。このページの以降の手順に従ってポリシーを割り当てる必要があります。

Agentが適切にインストールされ有効化されたことを確認する

Agentが適切にインストールされ有効化されたことを確認する必要があります。

  1. Workload Security コンソールにログインします。
  2. 上部の [コンピュータ] をクリックします。
  3. 左側のナビゲーションペインで、Amazon EC2インスタンスまたはAmazon WorkSpaceが Computers > your_AWS_account > your_region の下に表示されていることを確認します。( WorkSpaces サブノードでWorkSpacesを検索します。)
  4. メインペインで、Amazon EC2インスタンスまたはAmazon WorkSpaceが StatusManaged(Online) と表示され、その横に緑色の点があることを確認します。

ポリシーを割り当てる

インストールスクリプトを実行して、Agentをインストールして有効化した場合は、次の手順を省略します。スクリプトがポリシーをすでに割り当てているため、これ以上の処理は必要ありません。

Agentを手動でインストールして有効化した場合は、Agentにポリシーを割り当てる必要があります。ポリシーを割り当てると、コンピュータが保護されるように必要な保護モジュールがAgentに送信されます。

ポリシーを割り当てるには、「ポリシーをコンピュータに割り当てる」を参照してください。

ポリシーを割り当てると、Amazon EC2インスタンスまたはAmazon WorkSpaceが保護されます。