ビュー:
自動スケーリングをサポートするために、GCP マネージドインスタンスグループ (MIG)を通じて作成された新しいGCP VMインスタンスのDeep Securityで自動保護を設定できます。
MIGで作成された各GCP VMインスタンスには、Deep Security Agentがインストールされている必要があります。これには2通りの方法があります。インスタンステンプレートの作成に使用したGCP VMインスタンスに事前インストールされたエージェントを組み込むことも、 インスタンステンプレート に配置スクリプトを組み込んでエージェントをインストールすることもできます。それぞれのオプションにはメリットとデメリットがあります。
  • インストール済みエージェントを組み込むと、エージェントソフトウェアをダウンロードしてインストールする必要がなくなるため、インスタンスが稼働するまでの時間を短縮できます。欠点は、エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アクティベーション時のアップグレード機能を有効にします。
  • インストールスクリプトを使用してAgentをインストールする場合、スクリプトはDeep Security Managerから常に最新バージョンのAgentソフトウェアを取得します。

Agentをプレインストールする

Deep Security Agentですでに設定されているGCP VMインスタンスがある場合は、そのインスタンスを使用してMIGのインスタンステンプレートを作成できます。インスタンステンプレートを作成する前に、GCP VMインスタンスでエージェントを無効にしてインスタンスを停止する必要があります。
dsa_control -r
MIGによって作成された新しいGCP VMインスタンスのそれぞれは、エージェントがアクティベートされ、Policyが適用されている必要があります(ポリシーがすでに適用されている場合)。これには次の2つの方法があります。
  • デプロイスクリプトを作成してエージェントをアクティブ化し、オプションでポリシーを適用できます。次に、デプロイスクリプトをGCPインスタンステンプレートに追加して、新しいインスタンスが作成されるときに実行されるようにします。手順については、以下のデプロイスクリプトでエージェントをインストールするセクションを参照してください。ただし、エージェントを取得してインストールする部分は省略してください。スクリプトのdsa_control -aセクションのみが必要です。
    注意
    注意
    デプロイスクリプトを機能させるには、Deep Security Managerでエージェント開始の通信を有効にする必要があります。この設定の詳細については、エージェント開始のアクティベーションと通信を使用してエージェントをアクティベートおよび保護するを参照してください。
  • エージェントをアクティベートするイベントベースのタスクをDeep Security Managerで設定し、オプションでインスタンスの起動時および「コンピュータによって作成された(システム別)」イベントが発生したときにポリシーを適用できます。

インストールスクリプトでAgentをインストールする

Deep Securityは、カスタマイズされた配信スクリプトを生成して、GCP VMインスタンスの作成時に実行できるようにします。GCP VMインスタンスに事前インストールされたエージェントが含まれていない場合、配信スクリプトはエージェントをインストールして有効化し、ポリシーを適用し、必要に応じてコンピュータグループと中継グループにコンピュータを割り当てる必要があります。
ヒント
ヒント
Deep Security APIを使用して、Agentのインストールを自動化するためのインストールスクリプトを生成できます。詳細については、Generate an agent deployment scriptを参照してください。
インストールスクリプトが機能するためには、以下の要件を満たす必要があります。
インストールスクリプトを使用してインスタンスの自動保護を設定するには
  1. Deep Security Managerにログオンします。
  2. 右上隅の[サポート情報]メニューから[インストールスクリプト]を選択します。
  3. プラットフォームを選択します。
  4. [インストール後にAgentを自動的に有効化]を選択します。
  5. 適切な[セキュリティポリシー][コンピュータグループ][Relayグループ]を選択してください。
  6. [クリップボードにコピー]をクリックします。
  7. GCPインスタンステンプレートに移動し、[Management, security, disks, networking, sole tenancy]を展開して、デプロイメントスクリプトを[Startup script]に貼り付けます。
    google-gcp-instance-template=24891294-84c4-4672-924b-7a2fa12cab62.png

GCP MIGの結果としてDeep Securityからインスタンスを削除します

Deep Security ManagerでGCPアカウントを追加すると、管理対象インスタンスグループの結果としてGCPに存在しなくなったインスタンスは、Deep Security Managerから自動的に削除されます。
詳細については、Google Cloud Platformアカウントの追加を参照してください。