プライベートアクセスコネクタ をGoogle Cloud Platformに配置する

Google Cloud Platform(GCP)アプリケーションを Zero Trust Secure Access Private Accessに接続して、不正侵入を防止します。

Private Access Connectorは、内部アプリケーションを Zero Trust Secure Access Private Accessに接続します。これにより、機密性の高い企業リソースへのアクセスを制御できます。高可用性(HA)を確保し、トラフィックの多いアプリでのロードバランシングを容易に実行するには、各環境に2つ以上のコネクタをインストールしてグループ化します。 プライベートアクセスコネクタをインストールする前に、環境が の最小システム要件を満たしていることを確認してください。

  1. Trend Micro Vision One コンソールで、 Zero Trust Secure Access > Secure Access Configuration > Private Access Configurationに移動します。
  2. 新しいコネクタグループを作成する必要がある場合は、プライベートアクセスコネクタグループを追加をクリックします。
    1. グループの一意の名前と説明を入力します。
    2. 保存をクリックします。
  3. リストで コネクタグループ 名を探し、 新しいコネクタ)アイコンをクリックします。

    プライベートアクセスコネクタ仮想アプライアンスパネルが表示されます。

  4. プラットフォームリストからGoogle Cloud Platformを選択します。
  5. ディスクイメージのダウンロードをクリックして、OVAファイルをダウンロードします。

    ファイル名と拡張子が TrendMicroVisionOne-PrivateAccessConnector.ovaであることを確認してください。

  6. 登録トークン を後で使用するためにコピーします。
    重要:

    登録トークン の有効期限は7日間です。トークンの有効期限が切れた場合は、再度開始する必要があります。

  7. インストールし、 でGoogle Cloud SDKを設定します。

    Cloud SDKをすでに設定している場合は、この手順を省略します。

    重要:

    この手順は、2022年7月現在有効です。

  8. Google Cloud Platform に特権管理者としてログインします。
  9. GCP画面の上部で、プロジェクトのドロップダウンメニューから プライベートアクセスコネクタ 仮想アプライアンスを配置するプロジェクトを選択します。
  10. プロジェクトの下に、ダウンロードしたOVAファイルをアップロードするためのバケットを作成します。
    注:

    プロジェクトで次の要件を満たすバケットがある場合は、この手順を省略します。

    • バケットのリージョンは、 プライベートアクセスコネクタの配信に使用されるリージョンと同じです。

    • バケットの使用可能容量が、アップロードするOVAファイルのサイズを超えています。

    1. 検索ボックスでクラウドストレージを検索し、クラウドストレージをクリックします。

      バケット管理画面が表示されます。

    2. バケットの作成をクリックします。
    3. 表示される バケットを作成する 画面で、一意に識別可能なバケット名を指定し、 続行をクリックします。
    4. バケットを設定し、作成をクリックします。
      注:

      バケットのリージョンが、 プライベートアクセスコネクタの配信に使用するリージョンと同じであることを確認します。

      バケット管理画面に新しいバケットが表示されます。

  11. OVAファイルをバケットにアップロードします。
    1. バケット管理画面のバケットリストで、手順4で作成または選択したバケットをクリックします。

      バケットの詳細画面が表示されます。

    2. オブジェクトタブで、ファイルのアップロードをクリックし、表示されるダイアログでOVAファイルを選択して、オープンをクリックします。

      アップロードしたOVAファイルがバケットファイルリストに表示されます。

  12. OVAファイルをGCP Cloud Storageからクラウドコンピューティングにインポートします。
    1. ローカル マシンで gcloud CLI を開き、サインインにサインインます。
    2. 次のコマンドを実行して、現在のプロジェクトとリージョンがバケットのある場所であることを確認します。

      gcloud config list

      (オプション)必要に応じて次のコマンドを実行し、プロジェクトとリージョンを変更します。

      • gcloud config set project <project_of_the_bucket>

      • gcloud config set compute/region <region_of_the_bucket>

    3. 次のコマンドを実行して、OVAファイルをCloud StorageからCloud Computeにインポートします。

      gcloud compute images import <imageName> --source-file "gs://<bucketName>/<ovaFileName>" --network <networkName>

      • <imageName>:OVAファイルのインポート後のクラウドコンピューティング内のイメージの名前

      • <bucketName>:OVAファイルを保存するバケットの名前

      • <ovaFileName>:インポートするOVAファイルの名前

      • <networkName>:イメージのインポートに使用する、現在のプロジェクト内のネットワークの名前

        注:

        現在のプロジェクトで使用可能なネットワークがない場合は、ネットワークを作成する必要があります。詳細については、Google Virtual Private Cloud(VPC)のドキュメントを参照してください。

    4. 処理が完了するまでお待ちください。
      注:

      インポートには約2時間かかることがあります。インポート中はgcloud CLIを閉じないでください。

      インポートが完了すると、「ディスクを起動可能にしています」というメッセージが表示されます。GCPで イメージ を検索し、イメージリストでイメージを見つけることもできます。

  13. gcloud CLIで次のコマンドを実行して、インポートしたイメージから プライベートアクセスコネクタ VMを作成します。

    gcloud compute instances create <instanceName> --image-project <projectName> --image <imageName> --network <networkName>

    • <instanceName>:作成する仮想マシンの名前

    • <projectName>:仮想マシンを作成するプロジェクトの名前

    • <imageName>:VMの作成に使用されたイメージの名前

    • <networkName>:仮想マシンの作成後に仮想マシンが実行されるネットワークの名前

  14. 処理が完了するまでお待ちください。

    作成には約1分かかります。VMが作成されたら、GCPで VMインスタンス を検索して、新しいVMを見つけることができます。

  15. プライベートアクセスコネクタ 仮想アプライアンスを Trend Micro Vision Oneに登録します。
    1. gcloud CLIを開き、次の ssh コマンドを実行して、初期設定の 認証情報で プライベートアクセスコネクタ 仮想アプライアンスにログオンします。

      gcloud compute ssh admin@<instance_name_of_the_Connector_VM>

      このコマンドを実行すると、キーペアが自動的に作成され、公開鍵ファイルが仮想マシンにアップロードされ、秘密鍵ファイルがローカルマシンに保存され、認証に秘密鍵ファイルが使用されます。コマンドで秘密鍵ファイルを指定する必要はありません。

    2. 次のコマンドを実行し、 入力 キーを押して、 enable コマンドのパスワードを設定します。

      passwd

      管理者 ユーザと特権モードで同じパスワードを使用しています。

    3. enable 」と入力して 入力 キーを押し、特権モードにします。要求された場合は、更新されたパスワードを入力します。

      コマンドプロンプトが、 > から #に変わります。

    4. (オプション)次のコマンドを実行して、 プライベートアクセスコネクタのタイムゾーンを変更します。

      configure timezone <timezone>

      初期設定のタイムゾーンは、 America / Los_Angelesです。

    5. プライベートアクセスコネクタ がNTPサーバ 0.pool.ntp.orgに接続できるかどうかを確認します。

      プライベートアクセスコネクタ の時計を同期するには、NTPサーバに接続する必要があります。Trend Micro Vision One は、初期設定ではパブリックNTPサーバ 0.pool.ntp.orgを使用します。 プライベートアクセスコネクタ を設定して、組織内の別のパブリックNTPサーバまたはローカルNTPサーバに接続することもできます。

      次のコマンドを実行して、NTPサーバを設定します configure ntp server <address>

      注:

      パブリックNTPサーバを使用するには、ファイアウォール設定でポート123の送信UDPトラフィックが許可されていることを確認してください。

    6. 次のコマンドを実行して、 プライベートアクセスコネクタ 仮想アプライアンスを Trend Micro Vision Oneに登録します。

      register <registration_token>

      Trend Micro Vision OneでVirtual Applianceをダウンロードしたときと同じ画面からトークンを取得できます。

  16. 必要に応じて、CLIを使用してその他の設定を行います。

    使用可能なコマンドの詳細については、「 プライベートアクセスコネクタ CLIコマンド」を参照してください。

    正常に配置されると、 プライベートアクセスコネクタ 仮想アプライアンスがプライベートアクセスコネクタタブの対応するコネクタグループの下に表示されます。