AWS PrivateLinkとの統合

AWS PrivateLink AWSで実行されているインスタンスまたはアプリケーション間のデータ接続に、パブリックインターネットではなくAWSプライベート接続を使用するようにAWSデプロイメントを設定できます。Workload Security。

AWS PrivateLinkを使用せずにWorkload Securityに接続する

Workload Security の標準配信モデルでは、 Deep Security Agent、すべてのAPIベースのアプリケーション、および次の4つのサービスに対するブラウザベースの管理アクセスからのデータ接続に公衆インターネットからアクセスする必要があります。

サービスアドレス(インターネット接続) Description
relay.deepsecurity.trendmicro.com Deep Security Agentによるセキュリティアップデートおよびパッケージの取得
agents.deepsecurity.trendmicro.com Deep Security Agentのトラフィック
dsmim.deepsecurity.trendmicro.com Deep Security Agentのトラフィック
app.deepsecurity.trendmicro.com APIおよびブラウザベースの管理アクセス

Workload Security ネットワーク要件の詳細については、 ポート番号、URL、およびIPアドレスを参照してください。

Workload SecurityでAWS PrivateLinkを使用する場合、上記の表に示す4つのサービスは、VPCサービスエンドポイントとしてアクセスされます。

プライベートDNSホストゾーンは、AWS Route53サービスとVPCサービスを使用して、これらの4つのサービスに送信されるトラフィックを、パブリックインターネットではなく、直接プライベートVPCサービスエンドポイントアドレスにルーティングします。

たとえば、 Workload SecurityにPrivateLinkを使用する場合、agents.deepsecurity.trendmicro.comはパブリックIPアドレスにマッピングするのではなく、VPCサービスエンドポイントのプライベートIPに解決します。その結果、 Deep Security Agentからの接続はVPCサービスエンドポイントで終了し、パブリックインターネットではなくAWS PrivateLinkを使用してルーティングされます。

AWS PrivateLinkで使用するVPCサービスエンドポイント

サービスアドレス Description AWS PrivateLinkで使用するVPCサービスエンドポイント
relay.deepsecurity.trendmicro.com Deep Security Agentによるセキュリティアップデートおよびパッケージの取得 com.amazonaws.vpce.us-east-1.vpce-svc-0ca160f19663f348e
agents.deepsecurity.trendmicro.com Deep Security Agentのトラフィック com.amazonaws.vpce.us-east-1.vpce-svc-0ecb2dc36c34b3aef
dsmim.deepsecurity.trendmicro.com Deep Security Agentのトラフィック com.amazonaws.vpce.us-east-1.vpce-svc-01a733ad6b4b0afc1
app.deepsecurity.trendmicro.com APIおよびブラウザベースの管理アクセス com.amazonaws.vpce.us-east-1.vpce-svc-04912367f0b0c73d9

AWS PrivateLinkを使用している場合でも、上記の表にないDeep Security Agentのトラフィック(Trend Micro Smart Protection ネットワーク向けのトラフィックなど)は、VPCからインターネットに直接ルーティングする必要があります。 Workload Security ネットワーク要件の完全なリストについては、 ポート番号、URL、およびIPアドレスを参照してください。

Workload Security VPCサービスエンドポイント地域のサポート

Workload Security では、 us-east-1(ノースバージニア州) 地域のすべてのアベイラビリティゾーンでVPCサービスエンドポイントを提供しています。具体的には、これらの可用性ゾーンID(az-ids):

  • use1-az1
  • use1-az2
  • use1-az3
  • use1-az4
  • use1-az5
  • use1-az6

(使用可能なゾーン名は、AWSアカウントによって異なります。)

  1. Workload Securityが提供するサービスごとに、 us-east-1 でVPCエンドポイントを作成します。4つのサービスについては、上記の表を参照してください。
  2. VPCでDNSホスト名とDNS解決が有効になっていることを確認します。
  3. deepsecurity.trendmicro.com ドメインのプライベートホストゾーンを設定します。手順1で作成したVPCエンドポイントにマップされる Workload Security が公開するサービス(リレー、エージェント、dsmim、app)に別名エントリを追加します。
  4. nslookupのようなツールを使用して、サービスのDNSアドレスがパブリックインターネットアドレスではなくプライベートIPを指していることを確認します。

トラフィックがVPCサービスエンドポイントのない地域から発信された場合はどうなりますか?

トラフィックがus-east-1以外の地域から発信された場合(つまり、対応する Workload Security VPCサービスエンドポイントがその地域), で使用可能でない場合、VPCピアリングを使用して他のリージョンまたはAWSアカウントのVPCをVPCに接続できます。あなたが私たちのホストである - 東 - 1。そのVPCは、トレンドマイクロが公開している Workload Security PrivateLinkサービスエンドポイントにトラフィックを転送します。AWSには、このタイプの設定の例

AWS PrivateLinkを使用するすべてのVPCで引き続きDNSホスト名とDNS解決を有効にする必要があります。さらに、DNS解決のためにRoute53レコードを設定する必要があります( の手順2と3、 Workload Securityでの使用のためにPrivateLinkを設定する)。

VPCピアリングの使用の詳細については、 VPCピアリングとはを参照してください。 AWSドキュメントの を参照してください。