Trend Vision One Endpoint Security(Server & Workload Protection)をService Gateway経由で利用してみた

Trend Vision One Endpoint Security(Server & Workload Protection)をService Gateway経由で利用してみた

#Vision One Endpoint Security
#Vision One
#Trend Micro
shima

shima

facebook logohatena logotwitter logo
Clock Icon2025.01.28

こんにちは、シマです。
皆さんはTrend Vision One Endpoint Security(Server & Workload Protection)(以降V1ES)を使っていますか?V1ESは、トレンドマイクロ社が提供するソリューションの1つで、Cloud One Workload Security (以降C1WS) の後継製品であり、クラウド上に存在するサーバ、インスタンスを保護するために必要な機能を提供するクラウド型総合サーバーセキュリティサービスです。

V1ESは通信要件上、V1ESを導入したEC2インスタンスからインターネットへの通信が必要ですが、直接通信させたくないケースもあると思います。今回はService Gateway経由の通信を使って、EC2インスタンスにV1ESを導入する方法についてご紹介します。

V1ESの通信要件について

V1ESでは、V1ESを導入したEC2インスタンスから、TrendMicro社が管理する管理サーバへインターネット経由で通信する必要があります。そのため、プライベートサブネットにあるEC2インスタンスはNAT Gatewayやプロキシサーバ、または今回ご紹介するService Gateway経由でのインターネット接続が必要です。通信要件の詳細については以下TrendMicro社のページをご確認ください。
https://success.trendmicro.com/ja-JP/solution/KA-0016020

設定方法

構成

今回の構成は下図の通りです。
20250129shima01

V1ESを導入するEC2はPrivate Subnetに配置します。V1ESの動作に必要な通信は、Public Subnetに配置したService Gatewayを経由して行います。

Service Gatewayの設定

以下の記事を参考にService Gatewayを構築します。
https://dev.classmethod.jp/articles/202405-v1-servicegateway-01/

今回のService GatewayはPublic Subnetから直接通信させるため、パブリックIPの自動割り当てを有効にしました。

作成したService Gatewayへサービスを追加します。
Trend Vision Oneコンソールで「Workflow and Automation」→「Service Gateway Management」へアクセスし、先程作成したService Gatewayをクリックします。
20250129shima02

「サービスを管理」をクリックします。
20250129shima03

表示される一覧から「転送プロキシサービス」の右側にあるボタンを押下します。
20250129shima04

時間経過でインストール済みサービスに先ほど追加したものが表示され、ステータスが正常になります。
20250129shima05

Service GatewayのSecurity Groupの設定を確認します。V1ESのエージェントを導入したEC2から、TCPの8080ポートで通信できるように許可設定をします。今回はVPCのCIDR対して許可設定をしました。
20250129shima06

実行時プロキシ設定

Trend Vision Oneコンソールより、「Endpoint Security」→「Endpoint Inventory」をクリックし、右上の歯車から「グローバル設定」をクリックします。
20250129shima07

「実行時プロキシ設定」のタブから「Base Policy」に設定されているプロキシ設定に、「すべてのサービスゲートウェイ」が表示されていることを確認します。
20250129shima08

もし、複数のService Gatewayが存在し、各環境に応じて利用するService Gatewayが異なるのであれば、ここで設定変更をしますが、今回の環境では不要なため割愛します。

エージェントインストール時の設定

V1ESのエージェントのインストールにはインストーラパッケージを利用する方法と、配信スクリプトを利用する方法がありますが、今回は配信スクリプトを利用する方式を利用する前提とします。

Trend Vision Oneコンソールより、「Endpoint Security」→「Endpoint Inventory」をクリックし、右上の「エージェントインストーラ」をクリックします。
20250129shima09

「配信スクリプトを使用したインストール方法」から、保護タイプで「Server & Workload Protection」を選択し、OS等は環境に応じた内容で選択します。「デプロイメント用プロキシ」で作成したService Gateway名を選択します。
20250129shima10

後は基本的にはスクリプトを利用した通常のフローと同様に実施します。
https://dev.classmethod.jp/articles/202407-v1es-swp-agentinstall-01/

スクリプト実行前に、スクリプト内の「PROXY_ADDR_PORT」を修正します。
初期設定だとService Gatewayのデフォルト名のままになっているので、正しい名称に変更します。今回はコメントアウトされているIPアドレスをそのまま指定するように変更します。

# [変更前]
PROXY_ADDR_PORT="localhost.localdomain:8080" ## ProxyAddrPort: 10.0.13.27:8080

# [変更後]
PROXY_ADDR_PORT="10.0.13.27:8080" ## ProxyAddrPort: 10.0.13.27:8080

確認

V1ESの管理画面で、問題なく管理対象になっており、各機能のインストールやタスクの実行に問題がないことを確認しました。
20250129shima12

最後に

今回はService Gateway経由の通信で、EC2インスタンスにV1ESを導入する方法をまとめていきました。

本記事がどなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Trend Vision One Endpoint Security(Server & Workload Protection)における各センサーの設定についてまとめてみた(2025年1月版)

Trend Vision One Endpoint Security(Server & Workload Protection)における各センサーの設定についてまとめてみた(2025年1月版)

User avatar
shima
2025.01.21
Trend Vision One Endpoint Security(Server & Workload Protection)におけるProduct Instanceについて

Trend Vision One Endpoint Security(Server & Workload Protection)におけるProduct Instanceについて

User avatar
shima
2025.01.16
Trend Vision One Endpoint Security(Server & Workload Protection)でCPU使用率制御機能がリリースされました

Trend Vision One Endpoint Security(Server & Workload Protection)でCPU使用率制御機能がリリースされました

User avatar
shima
2024.12.12
Trend Vision One Endpoint Security(Server & Workload Protection)にCloud One Workload Securityのポリシーを複製してみた

Trend Vision One Endpoint Security(Server & Workload Protection)にCloud One Workload Securityのポリシーを複製してみた

User avatar
shima
2024.11.14
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.