フォーム読み込み中
Alibaba Cloud Security Center の Proxy Access 機能を使ってみました
クラウドエンジニア
蒋 渊舒
AlibabaCloudを中心にクラウドエンジニアとして活動しています。よろしくお願いいたします。
2023年6月12日掲載
Alibaba Cloud Security Center は仮想サーバやクライアントのセキュリティ脅威に対処できるクラウドプラットフォーム製品です。セキュリティ状態を継続的に監視し、徹底した脅威防御、リスト分析、ワンストップ対応機能を提供しています。詳細については、Security Center の紹介ページをご参考ください。
Security Center と監視対象間の通信は、エージェント経由で実現していますので、事前にクライアントにエージェントをインストールする必要があります。AlibabaCloud の仮想サーバ製品(ECS)はもちろん、AlibabaCloud 以外のサーバやクライアントもエージェントのインストールが可能です。エージェントのインストール方法をご参考ください。また Alibaba Cloud ECS の場合、Security Center との通信は AlibabaCloud 内部イントラネットワーク経由で、インターネットアクセスなくでも問題ありませんが、AlibabaCloud 以外のクライアントの場合はインターネット接続が必須になります。
インターネットに公開できないサーバーや、他社クラウド/オンプレミス環境内のクライアントで Security Center を利用したい場合は VPN 接続や自作 Proxy が考えられますが、この度、Security Center に Proxy Access 機能がリリースされて、一つ選択肢が増えましたので、今回はこの Proxy Access 機能を使ってみたいと思います。
全体構成図
今回 Proxy Access を検証する構成はいたってシンプルです。インターネットアクセスできないオンプレミス環境(東京リージョン VPC で模擬)のクライアントにおいて、Access Proxy 機能を実装した Proxy 経由して Security Center と通信できるかの検証となります。
検証環境の事前準備
本検証では、東京リージョンの VPC でオンプレミス環境を模擬して実施します。
ECS1 | ECS2 | ECS3 | |
役割 | Proxy | Linux Client | Windows Client |
プライベートIP | 192.168.10.1 | 192.168.10.2 | 192.168.10.3 |
EIP | あり | なし | なし |
1-1.CIDR を指定して VPC を作成します。
1-2.VPC 配下に CIDR を指定して VSwtich を作成します。
1-3.Vswitch 配下にプライベート IP を指定して 3 台 ECS を作成します。
1-4.EIP を作成し、ECS1 に付与します。
1-5.セキュリティグループにて下記ポリシーを設定します。
Action:Deny
Port Range:80、443
Authorization Object:Dest 100.100.0.0/16
説明:インターネットアクセスがなくても、ECS から Security Center のイントラネットエンドポイントへアクセスできてしまいます。そのイントラネットエンドポイントは 100.100.0.0/16 の CIDR ブロックを使用しています。それを遮断することで、VPC 環境から Security Center へアクセスはオンプレミス環境同様になります。
Access Proxy のデプロイ
Access Proxy を ECS1 にデプロイします。
2-1.Security Center のコンソールを開きます。
2-2.「System Configuration」-「Feature Settings」をクリックします。
2-3.「Agent」-「Proxy Access」-「Create Cluster」をクリックします。
2-4.下記情報を入力し、「OK」をクリックします。
Cluster Name:任意の文字列
Address:ECS1 のプライベート IP
2-5.「Deploy Proxy」をクリックします。
2-6.「Manual Deployment」をクリックすると、Proxyデプロイ用のインストールコマンドが表示されます。
2-7.ECS1 にて、手順 3-6 で取得したコマンドを実行し、Access Proxy をデプロイします。
2-8.Proxy サーバ(ECS1)が Online になったことを確認します。
Client Agent のインストール
3-1.「Install Agent」をクリックします。
3-2.「Generate Installation Command」をクリックします。
3-3.「Add installation Command」をクリックします。
3-4.先に Linux Client で実施しますので、以下のように入力し、「OK」をクリックします。
Expiration time:翌日の日付
Service Provider:External host
Default grouping:Default
Operating system:Linux
Making Image System:No
Select Proxy:手順 2-8 で作成した Proxy
3-5.Access Proxy 経由の Client Agent インストール用コマンドが表示されますので、コピーします。
3-6.ECS2 にて、手順 3-5 で取得したコマンドを実行し、Client Agent をインストールします。詳細を見ると、ECS1 経由でインストールファイルをダウンロードしたことが分かります。
3-7.コンソールで Access Proxy 経由接続で済みのクライアントが 1 になりました。
3-8.手順 3-4 と同様に、Windows Client 用コマンドを生成します。
Expiration time:翌日の日付
Service Provider:External host
Default grouping:Default
Operating system:Windows
Making Image System:No
Select Proxy:手順 2-8 で作成した Proxy
3-9.ECS3 にて、手順 3-8 で取得したコマンドを実行し、Client Agent をインストールします。
3-10.コンソールで Access Proxy 経由接続で済みのクライアントが 2 になりました。
さいごに
今回は、Alibaba Cloud Security Center の新機能 Proxy Access を検証してみました。複雑な設定がなく、Access Proxy デプロイ及び Client Agent インストールして簡単に接続ができました。また Access Proxy のデプロイを先に実施することで、インターネットアクセスできないクライアントでも、Client Agent ダウンロードから既に Proxy 経由になりますので、手間がかかりません。もし直接インターネットにつなげない環境から Security Center を利用するニーズがありましたら、ぜひ本記事を参考にしてみてください。
関連サービス
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
