Deep Security as a Service (DSaaS)でProxyを利用する場合の注意事項

はじめに

くどうです。

DSaaSをProxyを使用する場合のTipsです。 ちょいとハマったので。

DSaaSは導入すると、外向けに443、80を全開放する必要があります。 Azure、AWSもですが、外向けにセキュリティグループを設定する場合、IPで指定します。 そのため、固定ではないDSaaSでは全開放するという矛盾が発生します。 http://esupport.trendmicro.com/solution/ja-JP/1104586.aspx http://esupport.trendmicro.com/solution/ja-JP/1097010.aspx

そこで、Proxyを利用し、出口を絞ることでリスクを低減します。 さらに、ホワイトリストを指定することで、DSaaSのみで利用するProxyにします。

Proxyを設定する

ホワイトリストを行うため、FQDNでフィルタリングできるProxyを設定します。 Proxyと言えばsquidということで以下は、ホワイトリストを利用できるsquid.confです。 localnetはネットワークに合わせて変更してください。 キャッシュは利用しないでください。DSaaSの挙動がおかしくなります。

/etc/squid/squid.conf

ホワイトリスト /etc/squid/whitelist

先頭は「.」要ります。

DSaaSを設定する

DSaaSのインストールは下記に従い行ってください。 http://esupport.trendmicro.com/solution/ja-JP/1110288.aspx

インストール後、有効化を行う前にAgentがProxyを利用できるよう下記のコマンドを実行します。

ここで有効化します。

有効化後、不正プログラム対策を開き、Smart ProtectionのProxyの設定をします。

WebレピュテーションのSmart ProtectionのProxyの設定も同様に行います。

他に、システム設定のプロキシも設定します。

DSaaSの設定は以上で完了。

あとは、ご勝手に。

まとめ

IPが固定できれば問題はなかったのですが、固定できないため以上の方法をとりました。 今後、クラウド環境で外向けも閉じた環境を作る機会が増えると思います。特にエンタープライズな環境とか・・・。

ではでは

[…]

動画でCloudを学べるCloud Academyとは?

はじめに

くどうです

皆さんはCloud、例えばAzureやAWS、Google Cloud Platformを学ぶときの教材として利用しているものはありますか? Shcoo?Qiita?はたまた公式ドキュメント?まぁ公式ドキュメントは最強っちゃ最強ですが・・・読みたくないですねw Cloud専門に学びたいときは・・・そこでCloud Academyってのがあります。 https://cloudacademy.com/

Cloud Academyとは

Cloud Academyとは、動画でCloudを学べるサイトです。 大きく分けて、AWS、Azure、Google Cloud Platformが学べます。 AWS認定やMCPなど試験対策も行えるのが特徴かもしれません。

ただし、英語です!!! 分かりやすい英語なので大丈夫だと思います。

フリートライアルがあるので試してみました。

試してみる

まずアクセスしてみます。 https://cloudacademy.com/

トライアルに登録してみます。SIGN UP画面に移ります。 名前、メールアドレス、パスワードを入力します。電話番号は入力する必要はありません。

SIGN UP後、チュートリアルが表示されます。

ダッシュボードでは、受講済みのものや、途中のものなど表示されます。

Learning Pathsでは、受験対策など様々なPathが用意されています。 下ではAzureに絞っているので少ないかも、AWSは豊富に用意されているようです。

Coursesでは、様々なコースが用意されています。コンテンツの数は67つ用意されています。(10/6現在)

テストや、クイズを受けることもできます。

ハンズオンもあります。

AWS認定の学習も行えます。

コミュニティのページも用意されており、ユーザ同士の質問なども行えます。

実際の授業画面をみてみます。 例ではコースから、授業を受けてみます。 それぞれ、アジェンダごとに授業を進めていくことができます。

試しにクイズを受けてみます。 それぞれ難易度や、トピック、サービスを選択することができます。

選択して問題を解いていきます。 […]

AzureとAWSにおけるIaaS可用性の違いを少しだけおさらい。

はじめに

くどうです。

最近、よく聞かれることがあります。「AWSではEC2を冗長化する場合、Availability ZoneだけどAzureだとどうやるの?」って。 では、おさらいを含めて少しだけ解説していきたいと思います。

AWSでの冗長化

AWSではAvailability Zoneを利用します。読んで字のごとく可用性のゾーンを示します。

まず、リージョン。これは物理的に完全に離れた個所を示します。つまり、大災害が起こっても問題ないレベルの距離が保たれています。 例えば、東京とシンガポールなど国をまたがることが多いです。アメリカは広いのでリージョンが複数あります。

更に、リージョン内で分割されるのがAvailability Zoneになります。Availability Zoneを分けることで、同時に障害が発生することは基本的にありません。 ただし、リージョン障害の場合にはこの範囲内ではありません。 http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions

また、EC2の99.95%SLAは「同一地域(Region)内で、サービス利用者がインスタンスを実行している複数のAvailability Zoneが、サービス利用者にとって「使用不能」となることをいう。」と書いてあります。つまりマルチAZで構築し2台以上の場合のみ適用されるということです。 https://aws.amazon.com/jp/ec2/sla/

Azureでの冗長化

Azureでも仮想マシンを物理的に冗長化することは可能です。可用性セットを利用します。 注意しなければならないのがEC2同様、仮想マシンのSLA99.95%保証は可用性セットで2台以上を利用することを前提としています。 https://azure.microsoft.com/ja-jp/support/legal/sla/virtual-machines/v1_2/

可用性セットはリージョン内に作成されるものでAWSのAvailability Zoneを同等の機能をはたします。障害ドメインと更新ドメインをさらに分かれているのも特徴的です。 以下は更新ドメイン=2、障害ドメイン=2で構成した場合になります。 更新ドメインとは、アップデートなどで同時に更新される範囲になります。 障害ドメインとは、物理的に異なるハードウェアの範囲になります。Availability Zoneはこちらに近いです。 更新ドメインと障害ドメインを確認することで、どの仮想マシンが同時に障害発生するか、アップデートにより再起動されるかが一目瞭然となり、設計しやすいかと思います。 https://azure.microsoft.com/ja-jp/documentation/articles/virtual-machines-windows-manage-availability/

実際に2台の仮想マシンを可用性セットに登録した場合は動的に割り当てられます。

また、ロードバランサーと可用性セットを組み合わせることで負荷分散ができ、AWSのELBと同じことができます。 要は、AWSで出来ることはAzureでも簡単にできます。

まとめ

Azureでも、AWSでいうはAvailability Zoneを可用性セットを利用し実現することができます。仮想マシンを立てる場合は、とりあえず可用性セットを追加することをお勧めします。 可用性セットは使いどころは多いです。慣れておくことをお勧めします。

ではでは

[…]