ビュー:
Workload SecurityとDeep Security Agentは、最新の相互サポートされたバージョンのTransport Layer Security (TLS) を使用して通信します。
関連情報

ハートビートを構成する

ハートビートは、Workload Securityとエージェント間の定期的な通信です。ハートビート中に、Workload Securityは以下の情報を収集します。
  • ドライバーのステータス (オンラインまたはオフライン)
  • エージェントの状態、時計の時間を含む
  • 最後のハートビート以降のエージェントログ
  • カウンターを更新するデータ
  • エージェントのセキュリティ構成のフィンガープリント (これは構成が最新であるかどうかを判断するために使用されます)
ハートビートを設定することはできません (ベースまたは親ポリシー、サブポリシー、または特別なリクエストによるバックエンド運用チームによって個別のコンピュータでのみ設定可能です)。
心拍間隔は10分です。アラートが発生する前に見逃せる心拍は2回のみです。これら2つの設定は変更できません。
[ハートビート]設定にアクセスするには、次の手順に従ってください。

手順

  1. ポリシーまたはコンピュータを設定するために[ポリシー]または[コンピュータ]エディターを開きます。
  2. [詳細]をクリックします。
  3. [設定][一般][ハートビート]に移動します。

通信の方向性を設定する

Workload Securityの場合、Agentからの通信は初期設定で有効になっています。この設定は変更しないでください。
macOSエージェントでは、[Agentから開始]通信のみがサポートされています。
[通信方向]設定は、エージェントまたはWorkload Securityが通信を開始するかどうかを定義します。通信にはハートビートとその他すべての通信が含まれます。以下のオプションが利用可能です。
  • [双方向:] エージェントは通常、ハートビートを開始し、Workload Securityからの接続を受け付けるためにエージェントのリスニングポート番号で待機します (Workload Securityポート番号を参照)。Workload Securityはエージェントに連絡して必要な操作を実行できます。Workload Securityはエージェントのセキュリティ構成に変更を適用できます。
  • [Managerから開始:] Workload Security (マネージャ) は、エージェントとのすべての通信を開始します。これらの通信には、セキュリティ構成の更新、ハートビート操作、イベントログの要求が含まれます。
  • [Agent/Applianceから開始:] エージェントはWorkload Securityからの接続を待機しません。代わりに、Workload Securityがエージェントのハートビートを受信するポート番号でWorkload Securityに接続します (Workload Securityポート番号を参照)。エージェントがWorkload SecurityとTransmission Control Protocol (TCP) 接続を確立すると、通常の通信が行われます。Workload Securityはまずエージェントにそのステータスとイベントを尋ねます。これがハートビート操作です。コンピュータで実行する必要がある未処理の操作がある場合 (例えば、ポリシーの更新が必要な場合)、これらの操作は接続が閉じられる前に実行されます。Workload Securityとエージェントの間の通信は、すべてのハートビートでのみ行われます。エージェントのセキュリティ構成が変更された場合、次のハートビートまで更新されません。エージェント主導のアクティベーションを構成し、デプロイメントスクリプトを使用してエージェントをアクティベートする方法については、エージェント主導のアクティベーションと通信を使用してエージェントをアクティベートおよび保護するを参照してください。
Workload Securityとエージェント間の通信のために、Workload Securityは自動的に (隠された) ファイアウォールルール (優先度4、バイパス) を実装し、エージェントのハートビート用リスニングポート番号を受信TCP/IPトラフィックに対して開放します。デフォルトでは、任意のIPアドレスおよび任意のMACアドレスからの接続試行を受け入れます。このポートへの受信トラフィックを制限するには、特定のIPまたはMACアドレス、またはその両方からの受信TCP/IPトラフィックのみを許可する新しい優先度4、強制許可またはバイパスファイアウォールルールを作成できます。この新しいファイアウォールルールは、設定がこれらの設定と一致する場合、隠されたファイアウォールルールを置き換えます。
[処理:]強制許可またはバイパス
[priority:] 4 - 最高
[packet's direction:]受信
[frame type:] IP
[protocol:] TCP
[packet's destination port:]エージェントのWorkload Securityからのハートビート接続用のリスニングポート番号、またはポート番号を含むリスト。エージェントのリスニングポート番号を参照してください。
これらの設定が有効な間、新しいルールは隠されたルールを置き換えます。その後、IPまたはMACアドレス、またはその両方のパケットソース情報を入力して、コンピュータへのトラフィックを制限できます。
エージェントは、Workload Securityのホスト名を使用して、ネットワーク上のWorkload Securityを検索します。したがって、Agentからの通信または双方向通信を機能させるには、Workload Securityホスト名がローカルDNSに存在する必要があります。
[通信方向]設定にアクセスするには、次の手順に従ってください。

手順

  1. ポリシーまたはコンピュータを設定するために[ポリシー]エディターまたは[コンピュータ]エディターを開きます。
  2. [設定][一般][通信方向]に移動します。
  3. [Direction of Workload Security Manager to Agent/Appliance communication]フィールドで、以前に説明した3つのオプションまたは継承を選択します。継承を選択すると、ポリシーまたはコンピュータは親ポリシーから設定を継承します。他のオプションを選択すると、継承された設定が上書きされます。
  4. 変更を適用するには[保存]をクリックしてください。

通信用にサポートされている暗号スイート

Workload Security とエージェントは、TLSの最新の相互サポートバージョンを使用して通信します。
エージェントは、Workload Securityとの通信用に次の暗号スイートをサポートしています。Workload Securityでサポートされる暗号スイートを知りたい場合は、トレンドマイクロにお問い合わせください。
暗号化スイートは、鍵交換非対称アルゴリズム、対称データ暗号化アルゴリズム、およびハッシュ関数で構成されます。

Agentバージョン9.5の暗号化スイート

Deep Security Agent 9.5 (SP、パッチ、更新なし) は、以下のTLS 1.0暗号スイートをサポートしています:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.5 SP1 - 9.5 SP1 Patch 3 Update 2は次の暗号スイートをサポートしています:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.5 SP1 Patch 3 Update 3 - 8は以下の暗号スイートをサポートしています:
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Agentバージョン9.6の暗号化スイート

Deep Security Agent 9.6 (SP、パッチ、または更新なし)- 9.6 Patch 1は次のTLS 1.0暗号スイートをサポートします:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.6 Patch 2 - 9.6 SP1 Patch 1 Update 4は次の暗号スイートをサポートしています:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.6 SP1 Patch 1 Updates 5 - 21は以下の暗号スイートをサポートしています:
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Agentバージョン10.0の暗号化スイート

Deep Security Agent 10.0からUpdate 15まで、以下のTLS 1.2暗号スイートをサポートしています。
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
Deep Security Agent 10.0 Update 16以降のアップデートでは、以下のTLS 1.2暗号スイートが標準でサポートされています。
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Agentバージョン11.0の暗号化スイート

Deep Security Agent 11.0のUpdate 4までで、以下の暗号スイートをサポートしています。
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
Deep Security Agent 11.0 Update 6以降の更新は、以下のTLS 1.2暗号スイートをサポートしています。
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

エージェントバージョン12.0とエージェントバージョン20の暗号スイート

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256