Workload Security とエージェント間の通信

Workload Security とDeep Security Agentは、相互にサポートされている最新バージョンのTLSを使用して通信します。

この記事のトピック:

ハートビートを設定する

「ハートビート」は、 Workload Security とエージェント間の定期的な通信です。 ハートビート中に、 Workload Security は次の情報を収集します。

  • ドライバのステータス (オンラインまたはオフライン)
  • エージェントのステータス(時計時刻を含む)
  • 最後のハートビート以降のエージェントのログ
  • カウンタをアップデートするデータ
  • エージェントのセキュリティ設定のフィンガープリント(最新であるかどうかを判断するために使用)

ハートビートは、ベースまたは親ポリシー、サブポリシー、あるいは個々のコンピュータで設定できます。

ハートビート間の時間は10分です。ハートビートは次のプロパティを設定できます。

  • アラートが発生する前のハートビート間のコンピューター上のローカルシステム時間の最大変更(分単位): システムクロックの変更を検出できるエージェント(Windowsエージェントのみ)の場合、これらのイベントは Workload Security 。変更がここにリストされているクロック変更を超えると、アラートがトリガーされます。この機能をサポートしないエージェントの場合、 Workload Security は、各ハートビート操作でエージェントによって報告されたシステム時間を監視し、この設定で指定された許容可能な変更よりも大きい変更を検出するとアラートをトリガーします。

    コンピュータの時計の変更アラートがトリガされたら、アラートを手動で消去する必要があります。

  • 非アクティブな仮想マシンのオフラインエラーを発生させます。 仮想マシンが停止しているときにオフラインエラーを発生させるかどうかを設定します。

  • 設定するポリシーまたはコンピュータのポリシーエディタまたはコンピュータエディタを開きます。([コンピューター]または[ポリシー]メニューから、テーブルの行を選択し、[ 詳細 ]ボタンをクリックします。)

  • [ Settings]→[ 一般 ]→[Heartbeat]の順に選択します。
  • 必要に応じてプロパティを変更します。
  • [Save] をクリックします。

通信方向を設定する

Workload Securityの場合、エージェントが開始する通信は初期設定で有効になっています。この設定は変更しないことを強くお勧めします。

エージェントまたは Workload Security が通信を開始するかどうかを設定します。「通信」には、ハートビートとその他すべての通信が含まれます。次のオプションを使用できます。

  • 双方向: エージェントは、通常、ハートビートを開始し、 Workload Securityからの接続についても、エージェントの待機ポート番号を待機します。( Workload Security ポート番号を参照してください。)Workload Security はエージェントに接続して、必要な処理を実行できます。Workload Security では、エージェントのセキュリティ設定に変更を適用できます。
  • Managerが起動しました:Workload Security (マネージャ)は、エージェントとのすべての通信を開始します。この通信には、セキュリティ設定のアップデート、ハートビートの処理、およびイベントログの要求が含まれます。
  • Agentが開始した エージェントは、 Workload Securityからの接続を待機しません。代わりに、 Workload Security がエージェントのハートビートを待機するポート番号について、 Workload Security に問い合わせます。( Workload Security ポート番号を参照してください。)エージェントが Workload SecurityとのTCP接続を確立すると、すべての通常の通信が行われます. Workload Security は、まずエージェントにステータスおよびイベントを要求します。 (これはハートビートの処理です)。コンピュータで実行する必要のある未解決処理がある場合 (ポリシーのアップデートが必要など) は、接続が終了する前にその処理が実行されます。 Workload Security とエージェント間の通信は、すべてのハートビートでのみ発生します。エージェントのセキュリティ設定が変更された場合、エージェントは次のハートビートまでアップデートされません。Agentからのリモート有効化を設定し、インストールスクリプトを使用してAgentを有効化する方法については、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。

  • 設定するポリシーまたはコンピュータのポリシーエディタまたはコンピュータエディタを開きます。

  • [設定]→[一般]→[通信方向] に移動します。
  • Agent / Appliance通信に対するWorkload Security Managerの方向性メニューから、[Managerの開始]、[エージェント/アプライアンスの開始]、または[双方向]), のいずれかを選択するか、[継承]を選択します。[継承] を選択した場合、ポリシーまたはコンピュータには、親ポリシーの設定が継承されます。その他のオプションのいずれかを選択すると、継承された設定がオーバーライドされます。
  • [ Save ]をクリックして変更を適用します。

Workload Security とエージェント間の通信を有効にするために、 Workload Security では自動的に、TCP / IPトラフィックに対してエージェント上のハートビートの待機ポート番号を開く(非公開)ファイアウォールルール(優先順位4、バイパス)を実装します。このルールは、初期設定ではすべてのIPアドレスおよびMACアドレスからの接続を許可するようになっています。特定のIPまたはMACアドレスまたはその両方から受信TCP/IPトラフィックのみを許可する新しい優先度4 (強制的に許可またはファイアウォールルールをバイパス) を作成することで、このポートの受信トラフィックを制限できます。この新しいファイアウォールルールは、設定が次の設定に一致する場合は非表示のファイアウォールルールに置き換わります。

action: force allowまたはbypass
優先度: 4 - 最高
パケットの方向: incoming
フレームタイプ: IP
プロトコル: TCP
パケットの宛先ポート: Workload Securityからのハートビート接続の エージェントの待機ポート番号、またはポート番号を含むリスト。( エージェント待機ポート番号を参照してください。)

これらの設定が有効な場合、新しいルールで非表示のルールが置き換えられます。その後、IPまたはMACアドレス、またはその両方のパケットソース情報を入力して、コンピュータへのトラフィックを制限できます。

クライアントは、ネットワーク上の Workload Security を、 Workload Security ホスト名で検索します。したがって、 Workload Security ホスト名 は、エージェント--開始または双方向通信が機能するためには、ローカルDNSに を置く必要があります。

通信用にサポートされている暗号スイート

Workload Security とエージェントは、TLSの最新の相互サポートバージョンを使用して通信します。

Deep Security Agentは、 Workload Securityとの通信用に次の暗号スイートをサポートしています。 Workload Securityでサポートされる暗号スイートを知りたい場合は、トレンドマイクロにお問い合わせください。

暗号化スイートは、鍵交換非対称アルゴリズム、対称データ暗号化アルゴリズム、およびハッシュ関数で構成されます。

Deep Security Agent 9.5の暗号化スイート

Deep Security Agent 9.5(SP、パッチ、またはアップデートなし)は、次のTLS 1.0暗号スイートをサポートします。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security Agent 9.5 SP1~9.5 SP1 Patch 3 Update 2では、以下の暗号化スイートがサポートされています。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security Agent 9.5 SP1 Patch 3 Update 3~8では、以下の暗号化スイートがサポートされています。

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security Agent 9.6の暗号化スイート

Deep Security Agent 9.6 (SP、パッチ、またはアップデート適用なし) ~9.6 Patch 1では、以下のTLS 1.0暗号化スイートがサポートされています。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security Agent 9.6 Patch 2~9.6 SP1 Patch 1 Update 4では、以下の暗号化スイートがサポートされています。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security Agent 9.6 SP1 Patch 1 Update 5~21では、以下の暗号化スイートがサポートされています。

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security Agent 10.0の暗号化スイート

Deep Security Agent 10.0のUpdate 15まででは、以下のTLS 1.2暗号化スイートがサポートされています。

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Deep Security Agent 10.0のUpdate 16以降のアップデートでは、以下のTLS 1.2暗号化スイートがそのままの形でサポートされています。

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Deep Security Agent 11.0の暗号化スイート

アップデート4までのDeep Security Agent 11.0は、次の暗号スイートをサポートします。

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Deep Security Agent 11.0 Update 6以降のアップデートでは、以下のTLS 1.2暗号化スイートがサポートされています。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Deep Security Agent 12.0およびDeep Security Agent 20の暗号スイート

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256