ビュー:

Zero Trust Secure Accessプライベートアクセスを使用してGoogle Cloud Platform (GCP) アプリケーションを接続し、不正侵入を防ぎます。

プライベートアクセスコネクタは、社内アプリケーションをZero Trust Secure Accessプライベートアクセスに接続します。これにより、機密性の高い企業リソースへのアクセスを制御できます。高可用性 (HA) を確保し、トラフィックの多いアプリで負荷分散を容易にするには、各環境に少なくとも2つのコネクタをインストールしてグループ化します。プライベートアクセスコネクタを展開する前に、環境が最小システム要件を満たしていることを確認します。

手順

  1. Trend Vision One コンソールで、 Zero Trust Secure AccessSecure Access ConfigurationPrivate Access Configurationに移動します。
  2. 新しいコネクタグループを作成する必要があるユーザの場合は、 [プライベートアクセスコネクタグループを追加]をクリックします。
    1. グループの一意の名前と説明を入力します。
    2. [保存] をクリックします。
  3. リストで [コネクタグループ] の名前を見つけ、 [新しいコネクタ] (add_connector=683f3c84-a774-40c0-bd9b-4663fcd2b53f.jpg ) アイコンをクリックします。
    [プライベートアクセスコネクタ仮想アプライアンス] パネルが表示されます。
  4. [プラットフォーム] リストから [Google Cloud Platform] を選択します。
  5. [ディスクイメージのダウンロード] をクリックして、OVAファイルをダウンロードします。
    ファイル名と拡張子が TrendMicroVisionOne-PrivateAccessConnector.ovaであることを確認します。
  6. 後で使用するために [登録トークン] をコピーします。
    重要
    重要
    [登録トークン] は7日間のみ有効です。トークンの有効期限が切れた場合は、最初からやり直す必要があります。
  7. インストールしてGoogle Cloud SDKの設定
    Cloud SDKをすでに設定している場合は、この手順をスキップしてください。
    重要
    重要
    これらの手順は、2022年7月時点で有効です。
  8. ログインGoogle Cloud Platformスーパー管理者として。
  9. [GCP] 画面上部の [プロジェクト] ドロップダウンメニューから、 プライベートアクセスコネクタ仮想アプライアンスをデプロイするプロジェクトを選択します。
  10. プロジェクトの下に、ダウンロードしたOVAファイルをアップロードするためのバケットを作成します。
    注意
    注意
    プロジェクトに次の要件を満たすバケットがある場合は、この手順をスキップしてください。
    • バケットのリージョンは、プライベートアクセスコネクタのデプロイに使用するリージョンと同じです。
    • バケットの空き容量が、アップロードするOVAファイルのサイズを超えています。
    1. 検索ボックスで「 [クラウドストレージ] 」を検索し、 [クラウドストレージ]をクリックします。
      バケット管理画面が表示されます。
    2. [バケットの作成]をクリックします。
    3. 表示される [バケットを作成する] 画面で、一意に識別できるバケット名を指定し、 [続行]をクリックします。
    4. バケットの設定を行い、 [作成]をクリックします。
      注意
      注意
      バケットのリージョンが、プライベートアクセスコネクタのデプロイに使用するリージョンと同じであることを確認します。
      新しいバケットがバケット管理画面に表示されます。
  11. OVAファイルをバケットにアップロードします。
    1. バケット管理画面のバケットリストで、手順4で作成または選択したバケットをクリックします。
      [バケットの詳細] 画面が表示されます。
    2. [オブジェクト] タブで [ファイルのアップロード]をクリックし、表示されるダイアログで OVA ファイルを選択して、 [オープン]をクリックします。
      アップロードされたOVAファイルがバケットファイルリストに表示されます。
  12. OVAファイルをGCP Cloud StorageからCloud Computeにインポートします。
    1. ローカルマシンで gcloud CLI を開き、特権管理者としてサインインます。
    2. 次のコマンドを実行して、現在のプロジェクトとリージョンがバケットの場所にあることを確認します。
      gcloud config list
      (オプション) 必要に応じて、次のコマンドを実行してプロジェクトとリージョンを変更します。
      • gcloud config set project <project_of_the_bucket>
      • gcloud config set compute/region <region_of_the_bucket>
    3. 次のコマンドを実行して、OVAファイルをCloud StorageからCloud Computeにインポートします。
      gcloud compute images import <imageName> --source-file "gs://<bucketName>/<ovaFileName>" --network <networkName>
      • <画像名> : OVA ファイルがインポートされた後の Cloud Compute 内のイメージの名前
      • <バケット名> : OVA ファイルを保存するバケットの名前
      • <ovaファイル名> :インポートするOVAファイル名
      • <ネットワーク名> : イメージのインポートに使用する現在のプロジェクト内のネットワークの名前
        注意
        注意
        現在のプロジェクトに使用可能なネットワークがない場合は、作成する必要があります。詳細については、Google Virtual Private Cloud (VPC) のドキュメントを参照してください。
    4. 処理が完了するまで待ちます。
      注意
      注意
      インポートには2時間ほどかかることがあります。インポート中はgcloud CLIを閉じないでください。
      インポートが完了すると、「ディスクの起動可能処理が完了しました」というメッセージが表示されます。 GCPで [イメージ] を検索し、イメージリストでイメージを見つけることもできます。
  13. gcloud CLIで次のコマンドを実行して、インポートしたイメージからプライベートアクセスコネクタ仮想マシンを作成します。
    gcloud compute instances create <instanceName> --image-project <projectName> --image <imageName> --network <networkName>
    • <インスタンス名> : 作成するVMの名前
    • <プロジェクト名> : VM を作成するプロジェクトの名前
    • <画像名> : VM の作成に使用されたイメージの名前
    • <ネットワーク名> : VM の作成後に VM が実行されるネットワークの名前
  14. 処理が完了するまで待ちます。
    作成には約1分かかります。 VMが作成されたら、GCPで [VMインスタンス] を検索して、新しいVMを見つけることができます。
  15. プライベートアクセスコネクタ仮想アプライアンスを Trend Vision Oneに登録します。
    1. gcloud CLIを開き、次のsshコマンドを実行して、初期設定の認証情報を使用してプライベートアクセスコネクタ仮想アプライアンスにログオンします。
      gcloud compute ssh admin@<instance_name_of_the_Connector_VM>
      このコマンドは、キーペアを自動的に作成し、公開鍵ファイルを仮想マシンにアップロードし、秘密鍵ファイルをローカルマシンに保存して、その秘密鍵ファイルを認証に使用します。コマンドで秘密鍵ファイルを指定する必要はありません。
    2. 次のコマンドを実行し、 [Enter] キーを押してenableコマンドにパスワードを設定します。
      passwd
      [admin] ユーザと特権モードは同じパスワードを共有します。
    3. enable と入力し、[Enter] キーを押して、特権モードに入ります。必要に応じて、最新のパスワードを入力します。
      コマンドプロンプトが [>] から #に変わります。
    4. (オプション)プライベートアクセスコネクタのタイムゾーンを変更するには、次のコマンドを実行します。
      configure timezone <timezone>
      初期設定のタイムゾーンは [アメリカ/ロサンゼルス]です。
    5. プライベートアクセスコネクタがNTPサーバ0.pool.ntp.org に接続できるかどうかを確認します。
      プライベートアクセスコネクタの時計を同期するには、NTPサーバに接続する必要があります。初期設定では、 Trend Vision One は公開NTPサーバ 0.pool.ntp.orgを使用します。組織内の別のパブリックNTPサーバまたはローカルNTPサーバに接続するようにプライベートアクセスコネクタを設定することもできます。
      次のコマンドを実行して NTP サーバーを構成します。configure ntp server <address>
      注意
      注意
      公開NTPサーバを使用するには、ファイアウォール設定でポート123での送信UDPトラフィックが許可されていることを確認してください。
    6. 次のコマンドを実行して、Private Access Connector仮想アプライアンスを Trend Vision Oneに登録します。
      register <registration_token>
      Trend Vision Oneで仮想アプライアンスをダウンロードしたときと同じ画面からトークンを取得できます。
  16. 必要に応じて、CLIを使用してその他の設定を行います。
    使用可能なコマンドの詳細については、プライベートアクセスコネクタのCLIコマンドを参照してください。
    展開が正常に完了すると、 [プライベートアクセスコネクタ] タブの対応するコネクタグループの下にプライベートアクセスコネクタ仮想アプライアンスが表示されます。