ビュー:
Deep SecurityをAWS Control Towerと統合して、Control Tower Account Factoryを通じて追加されたすべてのアカウントが自動的にDeep Securityにプロビジョニングされるようにし、各アカウントにデプロイされたEC2インスタンスのセキュリティ状態の中央可視性を提供するとともに、ポリシーと請求の自動化の基盤を提供します。

概要

ライフサイクルフックソリューションは、Control Towerマスターアカウントで起動されると、Deep Securityが各Account Factory AWSアカウントを自動的に監視することを保証するAWSインフラストラクチャをデプロイするCloudFormationテンプレートを提供します。このソリューションは2つのLambda関数で構成されています。1つはロールを管理しDeep Securityにアクセスするためのもので、もう1つは最初のLambdaのライフサイクルを管理するためのものです。AWS Secrets Managerは、マスターアカウントにDeep SecurityのAPIキーを保存するために活用され、CloudWatch EventsルールはControl Towerアカウントが正常にデプロイされたときにカスタマイズLambdaをトリガーするように設定されています。
Deep SecurityがAWS Control Towerと統合されると、次のように実装されます:
  1. スタックの起動時に、Control Tower Master、Audit、およびLogアカウントを含む既存のControl TowerアカウントごとにライフサイクルLambdaが実行されます。
  2. 起動後、CloudWatch Eventルールは、各Control Tower CreateManagedAccountイベントが成功するたびにライフサイクルLambdaをトリガーします。
  3. ライフサイクルLambda関数はAWS Secrets ManagerからDeep Security APIキーを取得し、次にDeep Security APIから組織の外部IDを取得します。
  4. Lambda関数は、必要なクロスアカウントロールと関連ポリシーを作成するために、ターゲット管理アカウントでControlTowerExecutionロールを引き受けます。
  5. この管理アカウントをテナントに追加するために、Deep Security APIへの呼び出しが行われます。

AWS Control Towerとの統合

  1. Deep Security ManagerをAWS Control Towerの指定された共有セキュリティアカウントにデプロイします。Control TowerセキュリティアカウントにDeep Security Quickstartをデプロイし、Quickstartデプロイメントでパブリック向けのELBを活用して、管理対象アカウントのワークロードとDeep Security Managerの間の接続を作成することをお勧めします。
  2. CloudFormationスタックが正常に起動したら、トップレベルのCloudFormationテンプレートからDeepSecurityConsoleの値を記録してください。このURLはコンソールにサインインし、マルチアカウント統合を構成するために必要です。
  3. Deep Security Managerで[管理]→[ユーザ管理]→[API Keys]に移動し、[新規]をクリックします。キーの名前と[Full Access]ロールを選択します。キーは後で取得できないため、必ず保存してください。このキーはAWS Control Tower MasterからコンソールAPIへの自動化を認証するために使用されます。詳細については、ユーザのためのAPIキーの作成を参照してください。
  4. AWS Control Towerのマスターアカウントにサインインします。CloudFormationサービスに移動し、AWS Control Towerがデプロイされたリージョンを選択して、ライフサイクルテンプレートを起動します。
  5. ライフサイクルテンプレートに、ステップ3で生成されたAPIキーを入力します。次に、ステップ2で記録されたDeepSecurityConsole値として表示されたコンソールのFQDN (https://を除く) を入力します。
  6. AWS CloudFormationがIAMリソースを作成する可能性があることを認識するボックスを選択します。[スタックを作成]を選択すると、統合が開始され、AWSアカウントがDeep Securityに追加されます。
  7. すべてのアカウントがインポートされたら、エージェントをインストールして保護を有効にします。

AWS Control Tower統合をアップグレードする

Deep Securityに新しい機能が追加されると、アプリケーションのクロスアカウントロールの権限を更新する必要がある場合があります。ライフサイクルフックによってデプロイされたロールを更新するには、元のURLで見つけることができる最新のテンプレートでDeep Securityスタックを更新します。パラメータ値は、トレンドマイクロ サポートから指示がない限り、元の値から変更しないでください。CloudFormationスタックを更新すると、既存のすべてのアカウントで使用されるロールと、将来の登録のために作成されるロールが更新されます。

AWS Control Tower統合の削除

ライフサイクルフックを削除するには、CloudFormationスタックを特定して削除します。すでに追加されている管理対象アカウントの保護はそのまま維持されます。Deep SecurityからAWSアカウントを削除する方法の詳細については、AWSアカウントの削除を参照してください。