ビュー:
Deep Security AgentはAmazon WorkSpacesのWindowsデスクトップのみをサポートしています。Linuxデスクトップはサポートされていません。
既存のAmazon EC2インスタンスおよびAmazon WorkSpacesをDeep Securityで次のように保護できます。
  1. AWSアカウントをDeep Security Managerに追加する
  2. 通信方向を設定する
  3. アクティベーションタイプを設定する
  4. 開いているポート
  5. AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする
  6. Agentが適切にインストールされ有効化されたことを確認する
  7. ポリシーを割り当てる
代わりにエージェントが組み込まれた新しいAmazon EC2インスタンスやAmazon WorkSpacesを起動したい場合は、AMIまたはWorkSpaceバンドルにエージェントをインストールするを参照してください。
Amazon EC2インスタンスを保護した後にAmazon WorkSpacesを保護する場合は、Amazon WorkSpacesを保護する (AWSアカウントをすでに追加している場合)を参照してください。

AWSアカウントをDeep Security Managerに追加する

Deep Security ManagerにAWSアカウントを追加する必要があります。これらのAWSアカウントには、Deep Securityで保護するAmazon EC2インスタンスおよびAmazon WorkSpacesが含まれています。
詳細については、AWSアカウントの追加についてを参照してください。
AWSアカウントを追加すると、次のようになります。
  • 既存のAmazon EC2インスタンスとAmazon WorkSpacesはDeep Security Managerに表示されます。エージェントがインストールされていない場合、[管理されていない (不明)][ステータス]とその横に灰色のドットが表示されます。エージェントがすでにインストールされている場合、[管理済み (オンライン)][ステータス]とその横に緑色のドットが表示されます。
  • このAWSアカウントでAWSを通じて起動する新しいAmazon EC2インスタンスまたはAmazon WorkSpacesは、Deep Security Managerによって自動検出され、コンピュータのリストに表示されます。

通信方向を設定する

通信方向をエージェント開始、マネージャ開始、または双方向のいずれかに設定する必要があります。
  1. Deep Security Managerにログインします。
  2. 通信方向の設定に記載されている指示に従い、以下のガイドラインを考慮して通信方向を設定してください。
    • [Agent/Applianceから開始]はAmazon EC2インスタンスまたはAmazon WorkSpaceでインバウンドポートを開く必要はありませんが、[双方向][Manager-から開始]は必要です。
    • [Agent/Applianceから開始] は、Amazon EC2インスタンスまたはAmazon WorkSpaceで受信ポートを開く必要がないため、最も安全なオプションです。
  3. Amazon WorkSpacesを使用していて、通信方向を[双方向]または[Manager-から開始]に設定することを選択した場合、さらなる設定を行う前に、各WorkSpaceにエラスティックIPアドレスを手動で割り当ててください。これにより、WorkSpaceにDeep Security Managerが接続できるパブリックIPが割り当てられます。EC2インスタンスには既にパブリックIPアドレスが使用されているため、これは必要ありません。WorkSpacesはプライベートIPアドレスを使用します。

有効化の種類を設定する

アクティベーションは、エージェントをマネージャに登録するプロセスです。エージェントによるアクティベーションを許可するかどうかを指定する必要があります。許可しない場合は、マネージャによるアクティベーションのみが許可されます。
  1. Deep Security Managerにログインします。
  2. 上部の[管理]をクリックします。
  3. 左側で[システム設定]をクリックします。
  4. [Agent]タブが選択されていることを確認してください。
  5. [Agentからのリモート有効化を許可]を選択または選択解除する際は、次の点に注意してください。
    • Agentからのリモート有効化では、Amazon EC2インスタンスまたはAmazon WorkSpacesに対する受信ポートを開く必要はありません。ただし、Managerからのリモート有効化では開く必要があります。
    • Agentからのリモート有効化を有効にしても、Managerからのリモート有効化は引き続き機能します。
    • エージェントが開始したアクティベーションは、 [Manager-から開始]に通信方向を設定しても機能します。
  6. [Agentからのリモート有効化を許可]を選択した場合は、[クローンAgentの再有効化][不明なAgentの再有効化を有効にする]も選択してください。詳細については、エージェント設定を参照してください。
  7. [保存] をクリックします。
  8. Amazon WorkSpacesを使用していて、エージェントによるアクティベーションを許可していない場合は、各WorkSpaceに弾力的IPアドレスを手動で割り当ててください。これにより、各Amazon WorkSpaceに他のコンピュータから接続可能なパブリックIPが割り当てられます。EC2インスタンスについては、すでにパブリックIPアドレスを使用しているため、これは必要ありません。
    BakeAMI=1fc6ec4e-a061-48b2-aa0b-6c918617a8dd.png

ポートを開く

Amazon EC2インスタンスまたはAmazon WorkSpacesに必要なポートが開いていることを確認する必要があります。
  1. Amazon EC2に対するポートを次のように開きます。
    1. AWSマネジメントコンソールにログインします。
    2. [EC2]→[ネットワーク & セキュリティ]→[セキュリティグループ]に移動してください。
    3. EC2インスタンスに関連付けられたセキュリティグループを選択し、[アクション]→[送信ルールの編集] を選択します。
    4. 必要なポートを開いてください。詳細については、開くべきポートを参照してください。
  2. Amazon WorkSpacesに対するポートを次のように開きます。
    1. Amazon WorkSpacesを保護しているファイアウォールソフトウェアに移動し、ポートを開いてください。
これで、 Deep Security AgentとDeep Security Managerが通信できるように必要なポートが開かれました。

開放するポート

通常:
  • エージェントからマネージャへの通信には、アウトバウンドTCPポート (デフォルトでは443または80) を開く必要があります
  • ManagerからAgentへの通信では、受信TCPポート (4118) を開く必要があります。
具体的には:
  • 通信方向を[Agent/Appliance-開始]に設定する場合、アウトバウンドTCPポート443または80を開いてください。
  • 通信方向を[Manager-から開始]に設定する場合、インバウンドTCPポート4118を開いてください。
  • 通信方向を[双方向]に設定する場合、アウトバウンドTCPポート443または80、およびインバウンドTCPポート4118を開いてください。
  • [Agentからのリモート有効化を許可]を有効にした場合、通信方向に関係なく、アウトバウンドTCPポート443または80を開いてください。
  • [Agentからのリモート有効化を許可]を無効にした場合、通信方向に関係なく、インバウンドTCPポート4118を開きます。

AgentをAmazon EC2インスタンスおよびWorkSpacesにインストールする

Amazon EC2インスタンスおよびAmazon WorkSpacesにエージェントをデプロイするには、次のいずれかのオプションを使用する必要があります。
  1. 展開スクリプトを使用してインストール、アクティベート、およびポリシーを割り当てます。
    これは、多くのAmazon EC2インスタンスおよびAmazon WorkSpacesにエージェントを展開する必要がある場合に最適なオプションです。
    このオプションでは、Amazon EC2インスタンスまたはAmazon WorkSpacesでインストールスクリプトを実行する必要があります。このスクリプトはAgentをインストールして有効化し、ポリシーを割り当てます。詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。
  2. 手動でインストールしてアクティベート。
    これは、少数のEC2インスタンスとAmazon WorkSpacesにエージェントを展開する必要がある場合に最適なオプションです。次の操作を行う必要があります:
    1. Deep Security Agentソフトウェアを入手し、Amazon EC2インスタンスまたはAmazon WorkSpaceにコピーしてインストールします。詳細については、Deep Security Agentソフトウェアの入手Deep Security Agentの手動インストールを参照してください。
    2. エージェントをアクティブ化します。エージェント (エージェントによるアクティブ化が有効になっている場合) またはDeep Security Managerで行うことができます。詳細については、エージェントをアクティブ化するを参照してください
Amazon EC2インスタンスまたはAmazon WorkSpaceにDeep Security Agentをインストールしてアクティベートしました。選択したオプションによっては、ポリシーが割り当てられている場合とそうでない場合があります。デプロイメントスクリプトを使用するオプションを選択した場合、アクティベーション中にエージェントにポリシーが割り当てられました。エージェントを手動でインストールしてアクティベートするオプションを選択した場合、ポリシーは割り当てられていないため、ポリシーを割り当てる必要があります。

エージェントのインストールとアクティベーションを確認してください

エージェントが正しくインストールおよび有効化されていることを確認する必要があります。
  1. Deep Security Managerにログインします。
  2. 上部の[コンピュータ]をクリックします。
  3. 左側で、[コンピュータ]→ [your_AWS_account]→[your_region] の下にAmazon EC2インスタンスまたはAmazon WorkSpaceが表示されていることを確認してください。[WorkSpaces]サブノードでWorkSpacesを探してください。
  4. メイン画面で、Amazon EC2インスタンスまたはAmazon WorkSpacesの [ステータス][管理済み (オンライン)] で、緑色のドットが横に表示されていることを確認します。

ポリシーを割り当てる

エージェントをインストールしてアクティブ化するデプロイメントスクリプトを実行した場合は、このステップをスキップしてください。スクリプトはすでにポリシーを割り当てているため、これ以上の操作は必要ありません。
Agentを手動でインストールして有効化した場合は、Agentにポリシーを割り当てる必要があります。ポリシーを割り当てると、コンピュータが保護されるように必要な保護モジュールがAgentに送信されます。
ポリシーを割り当てるには、ポリシーをコンピュータに割り当てるを参照してください。
ポリシーを割り当てると、Amazon EC2インスタンスまたはAmazon WorkSpaceが保護されます。