このページのトピック
AWS PrivateLinkとの統合
AWS PrivateLink AWSで実行されているインスタンスまたはアプリケーション間のデータ接続に、パブリックインターネットではなくAWSプライベート接続を使用するようにAWSデプロイメントを設定できます。Workload Security。
AWS PrivateLinkを使用せずにWorkload Securityに接続する
Workload Security の標準配信モデルでは、 Deep Security Agent、すべてのAPIベースのアプリケーション、および次の4つのサービスに対するブラウザベースの管理アクセスからのデータ接続に公衆インターネットからアクセスする必要があります。
| サービスアドレス(インターネット接続) | Description |
|---|---|
| relay.deepsecurity.trendmicro.com | Deep Security Agentによるセキュリティアップデートおよびパッケージの取得 |
| agents.deepsecurity.trendmicro.com | Deep Security Agentのトラフィック |
| dsmim.deepsecurity.trendmicro.com | Deep Security Agentのトラフィック |
| app.deepsecurity.trendmicro.com | APIおよびブラウザベースの管理アクセス |
Workload Security ネットワーク要件の詳細については、 ポート番号、URL、およびIPアドレスを参照してください。
AWS PrivateLinkは Workload Securityとどのように連携しますか?
Workload SecurityでAWS PrivateLinkを使用する場合、上記の表に示す4つのサービスは、VPCサービスエンドポイントとしてアクセスされます。
プライベートDNSホストゾーンは、AWS Route53サービスとVPCサービスを使用して、これらの4つのサービスに送信されるトラフィックを、パブリックインターネットではなく、直接プライベートVPCサービスエンドポイントアドレスにルーティングします。
たとえば、 Workload SecurityにPrivateLinkを使用する場合、agents.deepsecurity.trendmicro.comはパブリックIPアドレスにマッピングするのではなく、VPCサービスエンドポイントのプライベートIPに解決します。その結果、 Deep Security Agentからの接続はVPCサービスエンドポイントで終了し、パブリックインターネットではなくAWS PrivateLinkを使用してルーティングされます。
AWS PrivateLinkで使用するVPCサービスエンドポイント
| サービスアドレス | Description | AWS PrivateLinkで使用するVPCサービスエンドポイント |
|---|---|---|
| relay.deepsecurity.trendmicro.com | Deep Security Agentによるセキュリティアップデートおよびパッケージの取得 | com.amazonaws.vpce.us-east-1.vpce-svc-0ca160f19663f348e |
| agents.deepsecurity.trendmicro.com | Deep Security Agentのトラフィック | com.amazonaws.vpce.us-east-1.vpce-svc-0ecb2dc36c34b3aef |
| dsmim.deepsecurity.trendmicro.com | Deep Security Agentのトラフィック | com.amazonaws.vpce.us-east-1.vpce-svc-01a733ad6b4b0afc1 |
| app.deepsecurity.trendmicro.com | APIおよびブラウザベースの管理アクセス | com.amazonaws.vpce.us-east-1.vpce-svc-04912367f0b0c73d9 |
AWS PrivateLinkを使用している場合でも、上記の表にないDeep Security Agentのトラフィック(Trend Micro Smart Protection ネットワーク向けのトラフィックなど)は、VPCからインターネットに直接ルーティングする必要があります。 Workload Security ネットワーク要件の完全なリストについては、 ポート番号、URL、およびIPアドレスを参照してください。
Workload Security VPCサービスエンドポイント地域のサポート
Workload Security では、 us-east-1(ノースバージニア州) 地域のすべてのアベイラビリティゾーンでVPCサービスエンドポイントを提供しています。具体的には、これらの可用性ゾーンID(az-ids):
- use1-az1
- use1-az2
- use1-az3
- use1-az4
- use1-az5
- use1-az6
(使用可能なゾーン名は、AWSアカウントによって異なります。)
Workload Security
- Workload Securityが提供するサービスごとに、 us-east-1 でVPCエンドポイントを作成します。4つのサービスについては、上記の表を参照してください。
- VPCでDNSホスト名とDNS解決が有効になっていることを確認します。
- deepsecurity.trendmicro.com ドメインのプライベートホストゾーンを設定します。手順1で作成したVPCエンドポイントにマップされる Workload Security が公開するサービス(リレー、エージェント、dsmim、app)に別名エントリを追加します。
- nslookupのようなツールを使用して、サービスのDNSアドレスがパブリックインターネットアドレスではなくプライベートIPを指していることを確認します。
トラフィックがVPCサービスエンドポイントのない地域から発信された場合はどうなりますか?
トラフィックがus-east-1以外の地域から発信された場合(つまり、対応する Workload Security VPCサービスエンドポイントがその地域で使用可能でない場合)、VPCピアリングを使用して他のリージョンまたはAWSアカウントのVPCをus-east-1でホストするVPCに接続できます。そのVPCは、トレンドマイクロが公開している Workload Security PrivateLinkサービスエンドポイントにトラフィックを転送します。AWSでは、このタイプの設定の例を提供しています。
AWS PrivateLinkを使用するすべてのVPCで引き続きDNSホスト名とDNS解決を有効にする必要があります。さらに、DNS解決のためにRoute53レコードを設定する必要があります(Workload Securityでの使用のためにPrivateLinkを設定するの手順2と3)。
VPCピアリングの使用の詳細については、 VPCピアリングとはを参照してください。 AWSドキュメントの を参照してください。