AWS自動スケーリングと Workload Security

Workload Security で、AWS自動スケーリングで作成された新しいインスタンスを自動保護することができます。

自動スケーリングで作成された各インスタンスには、 Deep Security Agentがインストールされている必要があります。Agentのインストールには、AMIの作成に使用されたEC2インスタンスにインストール済みのAgentを組み込む方法と、AMIの起動設定にインストールスクリプトを組み込んでAgentをインストールする方法があります。それぞれのオプションにはメリットとデメリットがあります。

  • インストール済みAgentを組み込むと、Agentソフトウェアをダウンロードしてインストールする必要がなくなるため、インスタンスが稼働するまでの時間を短縮できます。欠点は、エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アップグレード時のバージョンアップ特徴。

  • エージェントをインストールするために配置スクリプトを使用する場合は、エージェントソフトウェアの最新バージョンが Workload Securityから常に取得されます。

Agentをプレインストールする

Deep Security Agentを設定済みのEC2インスタンスがある場合は、そのインスタンスを使用してオートスケーリング用のAMIを作成できます。AMIを作成する前に、EC2インスタンスのAgentを無効にし、インスタンスを停止する必要があります。

dsa_control -r 

オートスケーリングで新規に作成された各EC2インスタンスでAgentを有効にし、ポリシーがまだない場合は適用する必要があります。これには次の2つの方法があります。

  • Agentを有効にしてポリシーを適用 (オプション) するインストールスクリプトを作成します。このインストールスクリプトをAWS起動設定に追加して、新しいインスタンスが作成されたときに実行されるようにします。手順については、この後の「インストールスクリプトでAgentをインストールする」を参照してください。ただし、インストールスクリプトの、Agentを取得してインストールするセクションは除外します。必要なのは、スクリプトのdsa_control -aセクションだけです。

配信スクリプトを使用するには、 Workload Securityでエージェントが開始する通信を有効にする必要があります。この設定の詳細については、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。

  • エージェントをアクティベートするイベントベースのタスクを Workload Security で設定し、起動したインスタンスと「コンピュータによって作成された(システム別)」イベントが発生したときにポリシーを適用することもできます。

インストールスクリプトでAgentをインストールする

Workload Security には、EC2インスタンスの作成時に実行できる、カスタマイズされた配置スクリプトを生成する機能があります。EC2インスタンスにインストール済みAgentが含まれていない場合は、インストールスクリプトでAgentをインストールして有効にし、ポリシーを適用し、オプションでコンピュータをコンピュータグループとRelayグループに割り当てる必要があります。

Workload Security APIを使用して、エージェントのインストールを自動化する配信スクリプトを生成できます。詳細については、 の配信スクリプトの生成を参照してください。

インストールスクリプトが機能するためには、以下の要件を満たす必要があります。

インストールスクリプトを使用してインスタンスの自動保護を設定するには

  1. Workload Security コンソールにログオンします。
  2. 右上隅にある Support メニューから、[ Deployment Scripts]を選択します。
  3. プラットフォームを選択します。
  4. [インストール後にAgentを自動的に有効化] を選択します。
  5. 適切な [セキュリティポリシー][コンピュータグループ]、および [Relayグループ] を選択します。
  6. [ クリップボードにコピー]をクリックします。
  7. AWSの起動設定に移動し、[ 詳細情報] [ ]を展開し、配置スクリプトを ユーザデータに貼り付けます。
    AWS起動設定詳細情報

Microsoft WindowsベースのAMIでPowerShellインストールスクリプトを実行する際に問題が発生した場合は、実行中のインスタンスからAMIを作成したことが原因である可能性があります。AWSでは、実行中のインスタンスからのAMIの作成をサポートしていますが、AMIからEc2Config作成されたすべてのインスタンスに対して開始時に実行されるすべてのタスクが無効になります。その結果、インスタンスはPowerShellスクリプトを実行できなくなります。

WindowsにAMIを作成する場合は、ユーザデータ処理を手動で、またはイメージ作成プロセスの一環として、再有効化する必要があります。ユーザデータ処理は、明示的に指定されていないかぎり、WindowsベースのAMIの最初の起動時にのみ実行される (最初の起動プロセスの実行中に無効になる) ため、カスタムAMIから作成されたインスタンスでは、この機能を再び有効にしないとユーザデータが実行されません。この機能をリセットする方法または最初の起動で無効にならないようにする方法については、「EC2Configサービスを使用したWindowsインスタンスの設定」で詳しく説明されています。最も簡単な方法は<persist>true</persist>、ユーザのデータにEC2Config 2.1.10以降が含まれていることを確認することです。

自動スケーリングの結果、Workload Securityからインスタンスを削除します。

Workload SecurityにAWSアカウントを追加すると、Auto Scalingの結果としてAWSに存在しなくなったインスタンスは自動的に Workload Securityから削除されます。

AWSアカウントの追加の詳細については、 AWSアカウントの追加について を参照してください。