こんにちは。SBC&Sの大塚です。
Carbon Black Cloud(以下CBC)は、フルクラウドモデルのエンドポイントセキュリティ製品として豊富な機能を提供しています。 今回はSensor Gatewayの仮想アプライアンスについて詳しくご紹介します。
概要
Sensor Gatewayは以前の記事でもご紹介している通り、オンプレミスにあるCarbon Black Cloudセンサー(以下、CBCセンサー)と、CBCとの間に発生する全ての通信をブリッジする機能のことです。従来ではコンテナイメージとして提供されていました。そのため、コンテナを起動するLinuxのDockerホストなどを用意する必要があり、導入の手間や運用の懸念がありました。
ですが、CBC Workloadのバージョン1.2.2のリリースにて、Sensor GatewayがOVAとして新たに提供されるようになりました。これにより、仮想アプライアンスとしてデプロイするだけでSensor Gatewayの構築が可能となりました。今回はこのOVAの展開手順について紹介していきたいと思います。
Sensor Gateway アプライアンス要件
Sensor Gatewayの通信要件は下記のとおりです。
詳細は以下のドキュメントを参照ください。
【ファイアウォールの構成】
https://docs.vmware.com/jp/VMware-Carbon-Black-Cloud/services/cbc-sensor-installation-guide/GUID-06D2CB73-968A-466E-BD69-B7480CBA800A.html
【アプライアンスのインストール】
https://docs.vmware.com/jp/VMware-Carbon-Black-Cloud-Workload/1.2/carbonblack_workload/GUID-08EED306-53E1-4469-96EE-B2F3C5417EF3.html
インストールワークフローと各ポイント
大まかなインストールワークフローは下記になります。
- Sensor Gateway環境の準備
- Carbon Black Cloudコンソール上の準備
- Sensor Gatewayのデプロイ
- 証明書インストール
- センサーインストール
図にてワークフローの詳細を記載しておりますのでご確認ください。
①Sensor Gateway環境の準備
まずはSensor Gatewayの環境準備を行います。IPアドレス・DNSなどの各ネットワーク設定を用意することに加え、CA署名付き証明書を利用する場合はその準備も必要です。証明書のインストールは後の作業で行います。
次にSensor GatewayのOVAファイルをダウンロードします。Customer Connectから「CBC-CWP-SensorGateway-OVA」をダウンロードします。
②CBCコンソール上の準備
CBCのコンソールにて、Sensor Gateway用のAPIキーを作成します。こちらは前回の記事でも紹介した手順と同じように行います。APIキーを作成する際、アクセスレベルのタイプを[カスタム]にすることで、Sensor Gateway用のカスタムアクセスレベルが選択できるようになります。[保存]を押して先に進みます。
APIキーが作成されると、API認証情報が表示されます。API IDとAPIシークレットキーは後の手順で使いますので控えておきます。
APIシークレットキーはこのタイミングでしか表示されないという点に注意が必要です。一度表示を閉じてしまうとCBCのコンソールからは確認できなくなりますので、ここで必ず手元に保存をしておく必要があります。
③Sensor Gatewayのデプロイ
vSphere環境にSensor GatewayのOVAファイルをデプロイします。vSphere ClientでOVAテンプレートのデプロイウィザードを開き、[ローカルファイル]をクリックしてダウンロードしたOVAファイルを選択し、次に進みます。
使用許諾契約書が表示されます。[同意]欄にチェックを付与し、次へ進みます。
Sensor Gatewayの構築に必要な各パラメータを入力していきます。入力項目が多いため、下記パラメータ一覧を参考にしてください。
設定を確認し、[完了]をクリックするとデプロイが開始されます。デプロイ完了後、展開された仮想マシンを起動します。
下記のように、Sensor Gatewayのコンソール上で[Sensor Gateway Appliance is READY for use]の表記が出ていればデプロイは完了となります。
CBCコンソールとSensor Gatewayとの接続が正常に完了すると、CBCコンソールの[設定] → [APIアクセス] → [センサーゲートウェイ]内のエントリーポイントのステータスが「接続済み」になります。この表示が現れればデプロイは完了です。
④証明書インストール
Sensor Gatewayとエンドポイント間の通信では証明書が使用されます。本番環境ではCA署名付き証明書の使用が推奨となっておりますが、自己証明書も使用可能です。今回の検証では自己証明書を使用して通信を行います。
自己証明書を使用する場合は、Sensor Gatewayが生成した自己証明書をエンドポイント側で信頼させる必要があるため、エンドポイントに対して自己証明書をインポートする必要があります。ここでは、Windowsのエンドポイントに対して自己証明書をインポートする手順について解説します。
自己証明書のエクスポートはWebブラウザ上で行います。下記手順はGoogle Chromeを使用した場合の操作となります。
Sensor GatewayのIPアドレスへアクセスし、左上の[保護されていない通信]をクリックします。[証明書が無効です]をクリックし、[詳細]タブから証明書をエクスポートします。
取得した証明書は、CBCセンサーをインストールするエンドポイントへインポートします。Windows環境への証明書のインポートを行う際は、ローカルコンピューターの証明書ストアの「信頼されたルート証明機関」に対してインポートを行う必要がありますので注意してください。インポートの詳細は下記URLからもご確認いただけます。
なお、今回のご紹介では自己証明書での手順をご紹介いたしましたが、CA署名付き証明書を使用する場合は認証局のRoot証明書がエンドポイント側へインポートされ、認証局が信頼されている必要があります。
⑤センサーインストール
エンドポイントへのセンサーのインストールは、Sensor Gateway用の会社コードを指定する必要があるため、コマンドを使用したUnattended Installにて行います。
まず、CBCコンソールの[インベントリ] → [仮想マシンのワ―クロード] → [センサーオプション]をクリックし、[会社コードを表示]を選択します。[センサーゲートウェイを介してCarbon Black Cloudへ接続]を選択し、展開したSensor Gatewayのエントリーポイント(URL)を選択します。
Sensor Gateway用の会社コードが表示されます。表示された会社コードは後で使用しますのでコピーしておきます。
Windowsにおけるコマンドスクリプトによるインストール例は下記になりますので参考ください。先程コピーした会社コードは「COMPANY_CODE」に指定します。Windowsにおけるその他のマンドラインオプションは下記URLからご確認ください。
無事にインストールが完了すると、CBCコンソールの[インベントリ] → [仮想マシンのワ―クロード]にてインストールしたエンドポイントの情報が確認できます。Sensor Gatewayを介した場合、下記のように接続先のSensor Gatewayの情報も同時に表示されるようになります。
まとめ
これまで提供されていたCBCのSensor Gatewayはコンテナ実行環境を用意する必要があり、構築の難易度が高いという点が導入・運用の障害になることもあったかと思われます。今回ご紹介したSensor Gatewayのアプライアンスを使用することで、構築と運用のハードルが下がりました。
Carbon Black Cloudの製品上、外部インターネットへの接続が必要となってしまいますが、Sensor Gatewayアプライアンスを利用することにより、直接インターネットに接続していない閉ざされた環境においてもCarbon Black Cloudによるエンドポイントのセキュリティ強化を実現可能となります。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
大塚 亜人夢 - Atomu Otsuka -
VMware vExpert