シナリオ:クラウド環境への導入

このセクションでは、Amazon Web Services、Microsoft Azure、Google Cloud などのクラウド環境での稼働を目的として Kaspersky Security Center を導入することについて説明します。

この導入シナリオが完了すると、Kaspersky Security Center 管理サーバーと管理コンソールが起動し、既定のパラメータが指定されます。Kaspersky Security Center で管理されるアンチウイルスによる保護が、選択した Amazon EC2 インスタンスまたは Microsoft Azure 仮想マシンに導入されます。初期設定が終わったら、Kaspersky Security Center の設定を微調整したり、管理グループの複雑な構造を築いたりすることができます。また、グループの各種ポリシーとタスクの作成も行うことができます。

クラウド環境での稼働を目的として Kaspersky Security Center を導入する際の手順は次の通りです:

  1. 準備作業
  2. 管理サーバーの導入
  3. 保護が必要な仮想マシンにカスペルスキー製品をインストールする
  4. アップデートのダウンロードの設定
  5. デバイスの保護ステータスに関するレポートの管理の設定

クラウド環境設定ウィザードは、初期設定を実行するためのウィザードです。Kaspersky Security Center が初めて設定済みのイメージから展開されると、自動的に開始します。このウィザードは、いつでも手動で開始できます。さらに、このウィザードが実行する操作はすべて、手動でも実行できます。

クラウド環境への Kaspersky Security Center 管理サーバーの導入には、少なくとも 1 時間を、クラウド環境への保護の導入には、少なくとも 1 営業日を割り当てることを推奨します。

クラウド環境への Kaspersky Security Center の導入は、以下の手順で進みます:

  1. クラウドセグメントの構成の計画

    Kaspersky Security Center がクラウド環境でどのように動作するかを資料で確認します。管理サーバーの導入先(クラウド環境の内外)を決定します。また、保護するクラウドセグメントの数を決定します。管理サーバーをクラウド環境の外に導入する場合、または 5,000 台を超えるデバイスを保護する場合は、管理サーバーを手動でインストールする必要があります。

    Google Cloud を使用する場合、管理サーバーのインストールは手動でのみ実行できます。

  2. リソース計画

    導入に必要な項目をすべて準備できていることを確認します。

  3. 設定済みイメージとして提供されている Kaspersky Security Center の利用登録を行う

    AWS Marketplace で設定済み AMI の 1 つを選択するか Azure Marketplace で月単位の従量課金制に基づく SKU を選択し、必要な場合は各マーケットプレイスの規則に従って支払いを行います(BYOL 方式の使用時には支払いは不要です)。イメージを使用して、Kaspersky Security Center がインストールされた状態の Amazon EC2 インスタンスまたは Microsoft Azure 仮想マシンを導入します。

    このステップは、管理サーバーをクラウド環境内のインスタンスまたは仮想マシンに導入し、5000 台以下のデバイスを保護する場合にのみ必要です。それ以外の場合、このステップは必要ありません。代わりに、管理サーバー、管理コンソール、DBMS を手動でインストールする必要があります。

    この手順は Google Cloud の場合は実行できません。

  4. DBMS の配置場所の選定

    DBMS の配置場所を決定します

    クラウド環境外のデータベースを使用する場合は、利用可能なデータベースが準備されていることを確認します。

    Amazon Relational Database Service(RDS)を使用する場合は、AWS クラウド環境で RDS を使用してデータベースを作成します。

    Microsoft Azure SQL DBMS を使用する場合は、Microsoft Azure クラウド環境で Azure Database サービスを使用してデータベースを作成します。

    Google MySQL を使用する場合は、Google Cloud にデータベースを作成します(詳細については、https://cloud.google.com/sql/docs/mysql を参照してください)。

  5. 管理サーバー、管理コンソール(Microsoft 管理コンソールベース、Web ベースの管理コンソール、またはその両方)を指定したデバイスに手動でインストール

    Kaspersky Security Center の主要なインストールシナリオに従って、管理サーバー、管理コンソール、DBMS を指定したデバイスにインストールします。

    このステップは、管理サーバーをクラウド環境外に導入する場合、または 5,000 台を超えるデバイスを保護する場合に必要です。次に、管理サーバーがハードウェア要件を満たしていることを確認します。それ以外の場合、このステップは必要ありません。AWS Marketplace、Azure Marketplace または Google Cloud で設定済みイメージとして提供されている Kaspersky Security Center の利用登録を行うだけで十分です。

  6. 管理サーバーがクラウド API を使用する権限を持っていることの確認

    AWS で AWS 管理コンソールに移動し、IAM ロールまたは IAM ユーザーアカウントを作成します。作成した IAM ロール(または IAM ユーザーアカウント)によって、Kaspersky Security Center が AWS API を使用してクラウドセグメントのポーリングと保護の導入を実行します。

    Azure を使用する場合、サブスクリプション、アプリケーション ID、パスワードを作成します。Kaspersky Security Center がこれらの認証情報で Azure API を使用してクラウドセグメントのポーリングと保護の導入を実行します。

    Google Cloud で、プロジェクトを登録し、プロジェクト ID と秘密鍵を取得します。Kaspersky Security Center が Google API でこれらの認証情報を使用してクラウドセグメントのポーリングを実行します。

  7. 保護対象インスタンス用の IAM ロールの作成(AWS のみ)

    AWS 管理コンソールで、AWS へのリクエストを実行するための一連の権限を定義する IAM ロールを作成します。このロールは、後で新規インスタンスに割り当てます。アプリケーションのインスタンスへのインストールに Kaspersky Security Center を使用するには、IAM ロールが必要です。

  8. Amazon RDS(リレーショナルデータベースサービス)または Microsoft Azure SQL を使用したデータベースの準備

    Amazon RDS の使用を計画している場合は、Amazon RDS データベースと、データベースのバックアップを保存する S3 バケットを作成します。管理サーバーをインストールするのと同じ EC2 インスタンス上にデータベースを配置する場合、またはデータベースを AWS 以外の場所に配置する場合は、このステップをスキップできます。

    Microsoft Azure SQL の使用を計画している場合は、Microsoft Azure でストレージアカウントデータベースを作成します。

    Google MySQL を使用する場合は、Google Cloud でデータベースを設定します。(詳細については、https://cloud.google.com/sql/docs/mysql を参照してください。)

  9. クラウド環境を使用するための Kaspersky Security Center ライセンス

    Kaspersky Security Center をクラウド環境で使用するためのライセンスを保有していることを確認し、アクティベーションコードまたはライセンス情報ファイルを確実に製品のライセンス保管領域に追加します。このステップはクラウド環境設定ウィザードで完了できます。

    このステップは、BYOL モデルに基づく無料の設定済み AMI からインストールされた Kaspersky Security Center を使用する場合、または AMI を使用せず手動で Kaspersky Security Center をインストールする場合に必要です。これらの場合、Kaspersky Security Center をアクティベートするには、Kaspersky Security for Virtualization または Kaspersky Hybrid Cloud Security のライセンスが必要です。

    設定済みイメージからインストールした Kaspersky Security Center を使用している場合は、このステップは不要なため、設定ウィザードの対応するウィンドウは表示されません。

  10. クラウド環境での認証

    Kaspersky Security Center に AWS、Azure または Google Cloud の認証情報を入力し、Kaspersky Security Center が必要な権限を付与された状態で動作できるようにします。このステップはクラウド環境設定ウィザードで完了できます。

  11. 管理サーバーがクラウドセグメントのデバイスに関する情報を受信できるように、クラウドセグメントをポーリングする

    クラウドセグメントのポーリングを開始します。AWS 環境では、Kaspersky Security Center は、IAM ロールまたは IAM ユーザーの権限に基づいてアクセス可能なすべてのインスタンスのアドレスと名前を受信します。Microsoft Azure 環境では、Kaspersky Security Center は、「Reader」ロールの権限に基づいてアクセス可能なすべての仮想マシンのアドレスと名前を受信します。

    その後、Kaspersky Security Center を使用してカスペルスキー製品と他社製ソフトウェアを、検出されたインスタンスまたは仮想マシンにインストールできます。

    Kaspersky Security Center によって定期的にポーリングが開始されるため、新しいインスタンスまたは仮想マシンが自動的に検出されます。

  12. すべてのネットワークデバイスをクラウド管理グループにまとめる

    検出されたインスタンスまたは仮想マシンを[管理対象デバイス]の[クラウド]管理グループに移動し、一元管理できるようにします。たとえば、インストールされているオペレーティングシステムに応じてデバイスをサブグループに割り当てる場合は、[管理対象デバイス]の[クラウド]グループ内に複数の管理グループを作成できます。定期ポーリング中に検出されるすべてのデバイスの[管理対象デバイス]の[クラウド]グループへの自動移動を有効にすることができます。

  13. ネットワークエージェントを使用しネットワークデバイスを管理サーバーに接続する

    クラウド環境のデバイスにネットワークエージェントをインストールします。ネットワークエージェントは、デバイスと管理サーバー間の通信を確立する Kaspersky Security Center コンポーネントです。ネットワークエージェントは自動的に設定されるようになっています。

    ネットワークエージェントを各デバイスのローカルにインストールすることができます。Kaspersky Security Center を使用して、ネットワークエージェントをリモートでデバイスにインストールすることもできます。または、この手順をスキップして、最新バージョンのセキュリティ製品と一緒にネットワークエージェントをインストールすることもできます。

  14. 最新バージョンのセキュリティ製品をネットワークデバイスへインストールする

    セキュリティ製品をインストールするデバイスを選択し、対象デバイスに最新バージョンのセキュリティ製品をインストールします。インストールは、管理サーバー上の Kaspersky Security Center を使用してリモートで、またはローカルで実行できます。

    これらのプログラム用のインストールパッケージを手動で作成する必要がある場合があります。

    Kaspersky Endpoint Security for Linux は、Linux を実行するインスタンスおよび仮想マシン用です。

    Kaspersky Security for Windows Server は、Windows を実行するインスタンスおよび仮想マシン用です。

  15. アップデートを設定する

    脆弱性とアプリケーションのアップデートの検索]タスクは、クラウド環境設定ウィザードの実行時に自動作成されます。タスクの手動作成もできます。このタスクによって、必要なアプリケーションのアップデートが検出およびダウンロードされ、続いて Kaspersky Security Center ツールを使用してネットワークデバイスにインストールされます。

    クラウド環境設定ウィザードが終了したら、次のステップを実行することを推奨します:

  16. レポート管理の設定

    監視]タブ([管理サーバー]フォルダーの作業領域にある)でレポートを表示できます。メールでレポートを受信することもできます。レポートは[監視]タブであらかじめ表示できるようになっています。メールでのレポート受信を設定するには、レポートを受信するメールアドレスを指定し、レポートの形式を設定します。

実行結果

シナリオの手順が完了したら、初期設定が正常に完了して次の状況が実現していることを確認してください:

関連項目:

主要なインストールシナリオ

ページのトップに戻る