GCP自動スケーリングと Workload Security

Workload Security では、GEF の管理対象インスタンスグループ(MIG) を介して作成された新しいGCP VMインスタンスに対して、 自動スケーリングをサポートするように自動保護を設定できます。

MIGで作成された各GCP VMインスタンスには、 Deep Security Agentがインストールされている必要があります。これには2通りの方法があります。インスタンステンプレートの作成に使用したGCP VMインスタンスに事前インストールされたエージェントを組み込むことも、 インスタンステンプレート に配置スクリプトを組み込んでエージェントをインストールすることもできます。 。それぞれのオプションにはメリットとデメリットがあります。

  • インストール済みAgentを組み込むと、Agentソフトウェアをダウンロードしてインストールする必要がなくなるため、インスタンスが稼働するまでの時間を短縮できます。欠点は、エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アップグレード時のバージョンアップ特徴。
  • エージェントをインストールするために配置スクリプトを使用する場合は、エージェントソフトウェアの最新バージョンが Workload Securityから常に取得されます。

Agentをプレインストールする

Deep Security Agentですでに設定されているGCP VMインスタンスがある場合は、そのインスタンスを使用してMIGのインスタンステンプレートを作成できます。インスタンステンプレートを作成する前に、GCP VMインスタンスでエージェントを無効にしてインスタンスを停止する必要があります。

dsa_control -r

MIGによって作成された新しいGCP VMインスタンスのそれぞれは、エージェントがアクティベートされ、Policyが適用されている必要があります(ポリシーがすでに適用されている場合)。これには次の2つの方法があります。

  • Agentを有効にしてポリシーを適用 (オプション) するインストールスクリプトを作成します。次に、配置スクリプトをGCPインスタンステンプレートに追加して、新しいインスタンスが作成されたときに実行されるようにします。手順については、 次の「配信スクリプトを使用したエージェントのインストール 」のセクションを参照してください。ただし、配信スクリプトでエージェントを取得およびインストールするセクションは省略してください。スクリプトの dsa_control -a セクションのみが必要です。

    配信スクリプトを使用するには、 Workload Securityでエージェントが開始する通信を有効にする必要があります。この設定についての詳細は、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。

  • エージェントをアクティベートする Workload Security コンソールでイベントベースのタスクを設定し、インスタンスの起動時および[コンピュータによって作成された(システム別)]イベントが発生した場合にポリシーを適用することもできます。

インストールスクリプトでAgentをインストールする

Workload Security には、カスタマイズされた配置スクリプトを生成する機能があり、GCP VMインスタンスの作成時に実行できます。GCP VMインスタンスに事前インストールされたエージェントが含まれていない場合、配信スクリプトはエージェントをインストールして有効化し、ポリシーを適用し、必要に応じてコンピュータグループと中継グループにコンピュータを割り当てる必要があります。

Workload Security APIを使用して、エージェントのインストールを自動化する配信スクリプトを生成できます。詳細については、 の配信スクリプトの生成を参照してください。

インストールスクリプトが機能するためには、以下の要件を満たす必要があります。

インストールスクリプトを使用してインスタンスの自動保護を設定するには

  1. Workload Security コンソールにログオンします。
  2. 右上隅にある Support メニューから、[ Deployment Scripts]を選択します。
  3. プラットフォームを選択します。
  4. [インストール後にAgentを自動的に有効化] を選択します。
  5. 適切な [セキュリティポリシー][コンピュータグループ]、および [Relayグループ] を選択します。
  6. [ クリップボードにコピー]をクリックします。
  7. GCPインスタンステンプレートに移動し、 管理、セキュリティ、ディスク、ネットワーク、唯一のテナント を展開し、展開スクリプトを スタートアップスクリプトに貼り付けます。

GCP MIGの結果、 Workload Security からのインスタンスの削除

Workload SecurityでGCPアカウントを追加すると、Managed Instance Groupの結果としてGCPに存在しなくなったインスタンスは、自動的に Workload Securityから削除されます。

GCPアカウントの追加の詳細については、 Google Cloud Platformアカウント の追加をご覧ください。