未解決
1 Rookie
•
21 メッセージ
5
2280
IsilonianTech 第19回 PowerScaleとサイバーセキュリティ ~CAVA編~
いつもIsilonianTechをご覧頂きまして誠にありがとうございます。2021年も残すところあと僅かとなりましたが、いかがお過ごしでしょうか?
前回は「IsilonianTech 第18回 PowerScaleとサイバーセキュリティ ~Ransomware Defender編~」と題しまして、ランサムウェア対策についてご紹介いたしました。
今回は、サイバーセキュリティ第2弾といたしまして、従来型のウイルス対策ソリューションであるCAVA(Common AntiVirus Agent)についてご紹介します。
元々PowerScaleは、ICAP(Internet Content Adaptation Protocol)をベースとしたウイルス対策ソリューションを提供していましたが、旧EMCストレージをご利用のかたは古くから馴染みのあるCAVAが2020年の10月にリリースされたOneFS 9.1からサポートしております。
CAVAの利点は幾つか挙げられますが、ウイルス対策製品の対応の多さ(ストレージ専用製品ではなく一般的な製品を利用可能)、PowerMaxやPowerStoreなどのDell Technologesの他のストレージ製品と共通したアーキテクチャ、一般的にICAPに比べて性能(スキャン速度)が良いなどがあります。
今回私のほうでは現時点(2021年12月1日)で最新のバージョンであるOneFS 9.3およびCEE 8.9.1.0と、McAfee社のEndpoint Securityの評価版(10.7.0.3012およびThreat Prevention 10.7.0.3113)を用いてテストました。
# CEEとはCommon Event Enablerの略で、ウイルス対策や監査、クォータ管理、インデックス作成などサードパーティ製品との外部連携が可能となる機能です。(対応ストレージおよびサードパーティ製品によって実装可能な機能は異なります。)
なお、実際にOneFSシミュレータとWindows ServerがあればCAVAの動作をお試しいただくことは可能ですが、動作確認時にウイルスのダミーファイルを扱う際はご注意ください。
CAVAサーバの設定
CAVAはWindowsのSMBを用いて動作するためWindows Serverを用意します。今回のようにテスト目的であれば1台でも問題ありませんが、本番環境ではCAVAサーバの単一点障害やPowerScaleのノード数に対してCAVAサーバ側でボトルネックが発生しないようにするために複数台立てることを推奨します。CAVAサーバのサイジングのガイドラインについては「Dell EMC PowerScale: Common AntiVirus Agent Solution」をご参照ください。併せてCEEがサポートするWindowsのバージョンに関しては「Using the Common Event Enabler on Windows Platforms」を参照ください。
ウイルス対策ソフトウェアのインストール
先ず用意したWindows Serverにウイルス対策ソフトウェアをインストールします。ウイルス対策ソフトウェアのインストールや設定方法は製品によって異なりますので、今回は割愛しますが設定方法については「Using the Common Event Enabler on Windows Platforms」を参照ください。併せて、対応するウイルス対策ソフトウェアに関しては、弊社サポートサイトのCEE Release Notes(Release Notes for the Dell EMC Common Event Enabler)を参照ください。
なお、今回テストしたMcAfee Endpoint Securityをインストールの際は、/CAVAスイッチを付けてインストールする必要があります。(詳細についてはMcAfee社のKB88973を参照ください。)
CEEのインストール
次にWindows版のCEE(EMC_CEE_Pack_8_9_1_0.iso)を弊社サポートサイトからダウンロードしてインストールします。CEEはWindowsのサービスとして実行されますので、インストールが完了すると以下のとおり「EMC CAVA」、「EMC CEE Monitor」というサービスが登録されます。
続いて「EMC CAVA」サービスに対して、CAVAを実行するActive Directoryのユーザアカウント(ローカル管理者権限を持ったユーザ)を登録します。なお、今回私のほうではadministratorユーザを用いておりますが、本番環境ではCAVA専用のユーザを作成することを推奨します。
# テストの際、ローカルユーザのアカウントでも動作することを確認しましたがユーザ管理が煩雑になるため推奨はしておりません。
PowerScale側の設定
PowerScaleでCAVAを利用する際は、CAVA専用のAccess Zone(およびIP Pool)を作成して、AvVendor RoleにCAVAサービスで登録したユーザを追加します。
最初にPowerScaleでSMBサービスが有効になっていない場合やActive Directoryが登録されていない場合は下記コマンドを実行します。
S210-1# isi services smb enable
The service 'smb' has been enabled.
S210-1# isi auth ads create <登録するAD名> --user administrator
password:
続いて先程作成したCAVAサーバを登録します。CAVAサーバ名は任意の名前で問題ありません。今回は"cava01"という名前を付けました。
S210-1# isi antivirus cava servers create cava01(CAVAサーバ名)
--enabled true
CAVA専用のAccess Zoneで利用するためのIP Poolの作成を行います。
S210-1# isi network pools create groupnet0.subnet0.pool1 --ranges
--sc-dns-zone
--ifaces 1:ext-1,2:ext-1,3:ext-1
上記で作成したIP PoolをAvVendor Zoneに割り当てます。下記のように、割り当てたIP PoolはCAVAサーバ以外では利用不可になる旨のメッセージが表示されますので"yes"を入力します。
S210-1# isi antivirus cava settings modify --ip-pool=groupnet0.subnet0.pool1
This action will make the IP Pool unavailable to all other users except antivirus servers. Do you want to continue? (yes/[no]): yes
"
IP Pool groupnet0.subnet0.pool1 added to CAVA antivirus.
Note: The access zone of IP Pool groupnet0.subnet0.pool1 has been changed to AvVendor.
"
下記コマンドを実行してCAVAのサービスを有効にします。CAVAサービスが有効になると、このタイミングでAvVendorという名前のCAVA専用のAccess Zoneが作成されます。
S210-1# isi antivirus cava settings modify --service-enabled=true
続いて作成されたAvVendor ZoneへActive Directoryを追加します。
S210-1# isi zone zones modify AvVendor --add-auth-providers=lsa-activedirectory-provider:<登録するAD名>
AvVendor Zoneに存在するAvVendor Roleに対してCAVAサービスで登録したユーザを追加します。(Access ZoneもRoleもAvVendorという名前なので若干紛らわしいですね。^^;)
S210-1# isi auth roles modify AvVendor --zone=AvVendor --add-user=
\\administrator
正しく動作しているかチェックするためには、isi antivirus cava statusコマンドもしくは、WebUIの「Data protection」→「Antivirus」→「CAVA」で確認します。下記のとおりSystem Statusが"RUNNING"になっていれば正常に動作しています。
以上でオンデマンドスキャンが有効になりました。スケジュールスキャンを行いたい場合は、上記画面の一番上にある「Jobs」の「Add job」から設定することができます。
ウイルス(ダミーファイル)を用いたテスト
ウイルスのダミーファイルを用いて共有に対して書き込みを行います。私のほうでは古くからテスト目的で利用されているEICARで試しました。(実際にテストされる際は、くれぐれもダミーファイルの扱いにはご注意ください。)
ダミーファイルをPowerScaleの共有に書き込むと、書き込んだ瞬間にファイルが消えて直ぐに隔離されたことが確認できました。
PowerScale側で状態を確認します。今回、3ノード構成しているPowerScaleクラスタのノード1に対して書き込みを行ったので、ノード1の「view node status」をクリックします。下記のように"CEE infected count"に検出数が表示されていることが確認できます。(下記は3回テストしたので"3"となっています。)
次に、CAVAサーバ側で確認します。McAfee Endpoint Securityの「ステータス」を開くとベクトル"ファイル共有"、脅威数"3"となっているのを確認できます。
「イベント ログ」を開くと詳細な情報が確認できます。
さいごに
もちろん、OneFS 9.3でサポートされたロングファイルネームの環境でも問題なくチェックされていることを確認できました。
2022年も魅力的な製品や機能が出てくる予定ですので、引き続きIsilonianTechをよろしくお願いいたします。
参考情報
Dell EMC PowerScale: Common AntiVirus Agent Solution
Dell EMC PowerScale: Antivirus Solutions(ICAPの情報)
Using the Common Event Enabler on Windows Platforms
バックナンバー
IsilonianTech 第1回 Isilonとオープンソース ~REX-Ray編~
IsilonianTech 第2回 Isilonとオープンソース ~OpenStack Manila編~
IsilonianTech 第3回 Isilonとオープンソース ~Isilon Data Insights Connector~
IsilonianTech 第4回 Software Defined Storage ~IsilonSD Edge~
IsilonianTech 第5回 Isilonとオープンソース ~Isilon-POSH~
IsilonianTech 第6回 Isilonとオープンソース ~Elastic Stack編~
IsilonianTech 第7回 Isilonとデータアナリティクス ~Cloudera編~
IsilonianTech 第8回 Elastic Cloud Storage (ECS) ~ECS Community Edition~
IsilonianTech 第9回 ISILON + ECS = UNLIMITED ~Isilon CloudPools~
IsilonianTech-第10回 Isilonとデータアナリティクス ~Isilon Ambari Management Pack~
IsilonianTech 第11回 OneFS 8.2リリース!
IsilonianTech 第12回 データファーストを支援するソフトウェア ~DataIQ~
IsilonianTech 第13回 vRealize Orchestratorプラグイン
IsilonianTech 第14回 超簡単!ファイルサーバ アセスメント ~Live Optics Dossier~
IsilonianTech 第15回 DataIQ プラグイン作成講座 ~概要編~
IsilonianTech 第16回 PowerScaleとデータアナリティクス ~CDP編~
IsilonianTech 第17回 DataIQ API操作講座 ~概要編~
IsilonianTech 第18回 PowerScaleとサイバーセキュリティ ~Ransomware Defender編~
安井 謙治
Dell Technologies│Unstructured Data Solutions
デル・テクノロジーズ株式会社 UDS事業本部 SE部