cloudpackでも取り扱っていますが、Trend Micro Deep Securityという、統合型サーバセキュリティソリューションがあり、EC2上でも利用することが可能です。
具体的には、下記のサービスを提供しています。
- ファイアウォール
- DPI(Deep Packet Inspection)
- 変更監視
- セキュリティログ監視
※不正プログラム対策(ウィルス対策)もありますが、今回紹介するDeep Security Agentでは対応していません。
○ファイアウォール
ファイアウォールは、プロトコル、ポート、トラフィック方向の組み合わせで設定することが可能で、様々な攻撃準備やDoS攻撃から保護することができます。
○DPI(Deep Packet Inspection)
EC2上で発信および受信されるネットワークトラフィックの実際のコンテンツを分析し、下記の保護が可能となります。
・侵入検知/侵入防御システム (IDS/IPS)
脆弱性に対する既知および不明な攻撃からの保護
・Web アプリケーション保護
クロスサイトスクリプティングおよびSQLインジェクションなどの脆弱性を保護
・アプリケーション制御
企業内環境で制限する必要のある既知のアプリケーショントラフィックを検出
○変更監視
特定の領域(特定ファイルやレジストリ値など)でシステムに変更がないかを監視します。
○セキュリティログ監視
システムログ内の特定タイプのイベントを監視し、例えば一定時間内に認証失敗イベントが特定回数発生した場合に、アラートを発令することが可能です。
早速、SUZ-LAB謹製 CentOS AMI (6.0.0 32bit ap-northeast-1)にインストールしてみました。
しかし、Linux版 Deep Security Agent 7.5 SP2にRPMが用意されているので、下記のように、簡単にインストールすることができます。
# rpm -Uvh http://www.trendmicro.com/ftp/products/deepsecurity/Agent-RedHat_EL6_i686-7.5.0-5531.i686.rpm Retrieving http://www.trendmicro.com/ftp/products/deepsecurity/Agent-RedHat_EL6_i686-7.5.0-5531.i686.rpm Preparing... ########################################### [100%] 1:ds_agent ########################################### [100%] Loaded dsa_filter module version 2.6.32-71.el6.i686 [ OK ] Starting ds_agent: [ OK ]
インストールが無事成功すると、下記のように、Deep Security Agent (ds_agent)が動作していることも確認できます。
# netstat -ltpn Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:4118 0.0.0.0:* LISTEN 1085/ds_agent tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 769/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 847/master tcp 0 0 :::22 :::* LISTEN 769/sshd
