Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

AWS vCore AMI をインストールして設定するには

Juniper ATP Appliance vCore for AWS には、Juniper ATP Appliance と AWS の両方のライセンス アカウントが必要です。インストールと設定プロセスでは、Amazon AWS Management Console (パート 1) と Juniper ATP Appliance vCore Central Manager Web UI および CLI(パート 2)の両方を使用します。

メモ:

注: 仮想コア AMI ライセンスを購入したら、AWS マネジメントコンソール を使用して仮想コア AMI を設定して起動し、仮想コア AMI を AWS カスタマーアカウントと共有します。

一般的な AWS AMI 設定ワークフローを以下に示します。コンソールの使用方法の詳細については、AWS マネジメントコンソール オペレーションガイドを参照してください。

パート 1 - Amazon AWS マネジメントコンソール 仮想コア AMI の設定

  1. Amazon AWS マネジメントコンソール で AWS データベースアカウントにログインします。console.aws.amazon.com
  2. AWS マネジメントコンソール ダッシュボードから、[EC2 サービス] を選択します。
  3. EC2 サービス で、AWS コンソールの左側のメニューから [IMAGES>AMIs] オプションをクリックします。また、ドロップダウンメニューをクリックして、画像の所有権の種類を「自分が所有」から「プライベート画像」に変更します。
  4. 表のラジオボタンをクリックして、インストールする Juniper ATP Appliance AMI イメージを選択します。
  5. [ゾーン] ドロップダウンメニューから、AMI を設定するゾーンを選択します。この例では、Juniper ATP Appliance "rsa-demo-cm" AMI が選択されています。(Juniper ATP Appliance AMI は、AWS Core を起動する前に共有されています。
  6. [起動] をクリックして、このジュニパー ATP アプライアンスの仮想コア AMI インスタンスの設定を EC2 でエンタープライズ用に開始します。
  7. [インスタンスタイプの選択] ページから、AMI のインスタンスタイプを選択します。この例では、「c4ラージ」を選択しました。「次へ: インスタンスの構成」をクリックします。
  8. [インスタンスの詳細の構成]ページで、[ネットワーク]ドロップダウンメニューから既存の顧客定義の仮想プライベートクラウド(VPC)を選択します。この例では、RSA-DEMO-1を選択しています。

    新しい VPC を作成するには、[Create New VPC] リンクをクリックし、手順に従います。

  9. [Subnet] フィールドで VPC サブネットを定義します。この例では、AWS 10.2.0.0/16 を使用しました。

    新しいサブネットを作成するには、[Create New Subnet] リンクをクリックし、手順に応じた手順に従います。

  10. 上記の例のように、自動割り当てパブリック IP を使用してサブネットが設定されていることを確認します。これにより、インターネットからJuniper ATP Appliance仮想コアにアクセスできるようになります。
  11. クリックして終了保護を有効にし、偶発的な終了から保護します。
    メモ:

    各 AMI インスタンスはプライベート IP とパブリック IP を使用します。複数のセカンダリ コアを含む 1 つの仮想コア + セントラル マネージャーをインストールする場合は、パブリック IP アドレスの割り当てが必要です。セカンダリ コアには Web UI が含まれていないため、パブリック IP は必要ありません。

    また: 一部の企業は、VPN を使用して AWS VPC をプライベートネットワークに接続しています。この場合、インターネットアクセスはVPN経由で構成できるため、サブネットにパブリックIPを割り当てる必要はありません。
  12. 「次へ: ストレージの追加」をクリックします。
    メモ:

    「暗号化」をクリックしてデータボリュームを暗号化します。
  13. ジュニパーATPアプライアンスは、コアにすでに1テラバイトのストレージを提供しています。AWS ストレージボリュームの最大サイズの制限により、このページでさらに設定する必要はありません。仮想コアにストレージを追加しないでください。[次へ] をクリックします。
  14. [タグインスタンス] ページで [タグを作成] をクリックし、タグの名前と説明を入力します。
  15. 「次へ: セキュリティーの構成」をクリックして続行します。
  16. セキュリティグループは、基本的に AWS のファイアウォールです。ほとんどのお客様にはすでに既存のファイアウォールがあるため、[既存のセキュリティグループを選択] または [新しいセキュリティグループを作成する] を選択します。セキュリティグループに、AWS Core と AWS セカンダリコア間の通信を許可するルールがあることを確認してください。
  17. 新しいセキュリティグループを作成する場合は、[セキュリティグループ名] フィールドと [説明] フィールドにそれぞれ名前と説明を入力します。
  18. ポート指定を入力します。Juniper ATP Appliance vCore では、ポート 22、80、443 のみを使用できます。[次へ] をクリックします。
    メモ:

    Juniper ATP Appliance 仮想コアにはすでにパスワード保護機能が含まれていますが、SSH キーを設定することができます。保護機能を追加するには、まずキーペアを追加してから、CLIのみのログインにはJuniper ATP Applianceのパスワードを使用します。AWS では、キーペアを設定する必要があります。PEM のみのログインを使用することはできません。
  19. SSH キーを設定するには、既存のキーペアを選択するか、新しいキーペアを作成します。
  20. 既存のセキュリティグループを選択する場合は、 を選択し、リストから選択して [次へ] をクリックします。

    「インスタンスの起動の確認」ページには、次の情報が表示されます。

  21. 「インスタンス起動の確認」ページで、インスタンスの起動の詳細を確認し、「インスタンスの編集」をクリックして変更を加えるか、「起動」をクリックしてインスタンス化します。

    「起動ステータス」ウィンドウが表示されます。一部

パート 2 - Juniper ATP アプライアンス仮想コア AMI インスタンスの実行

次に、AWS マネジメントコンソール からジュニパーATPアプライアンス仮想コアAMIインスタンスを初期化し、コマンドを使用して show ip Juniper ATPアプライアンスセントラルマネージャーCLIでAMIを確認します。

  1. [AWS マネジメントコンソール インスタンス] ページを開いて、起動された AMI インスタンスのステータスを表示します。起動されたインスタンスの初期化が完了すると、「実行中」ステータスを示す緑色のアイコンが表示されます。
  2. 起動したインスタンスを選択し、[インスタンス] テーブルの下部にあるパネルを開いて、インスタンスの詳細を確認します。
  3. 仮想コア CLI 構成のインスタンス ID とインスタンスの種類 "c4-large2." をコピーします。
    メモ:

    プライベートIPアドレスはDHCP設定であり、AWSでは静的なままであり、適切な操作中に変更されないことに注意することが非常に重要です。

    必要に応じて DNS は変更できますが、AMI ホスト名は変更できないことにも注意してください。

    DNS について: AWS 仮想コアはエンタープライズ内にないため、脅威ターゲットの逆引き DNS は予想されるターゲットホスト名に解決されません。これは、企業ネットワークから VPC に VPN 経由で接続している場合、混乱することはほとんどありません。通常、内部 DNS サーバーはエンタープライズの外部に公開されないため、Juniper ATP アプライアンスは、内部 DNS サーバーに到達するように AWS vCore を設定できません。内部DNSサーバーが外向きのIPアドレスを使用し、管理者としてそれへの接続を許可する場合、これは合理的な解決策です。仮想コアが使用する DNS サーバーには、Juniper ATP Appliance Traffic Collectorが配置されているネットワークの DNS 情報はありません。これは、トラフィックコレクタとコア/CMが同じエンタープライズネットワークに配置されていない分散型導入でよくあることです。
  4. パブリック IP アドレスをコピーし、SSH/Putty 経由で仮想コア AWS インスタンス CLI にアクセスします。
  5. Juniper ATP Appliance CLI プロンプトで、「server」と入力して CLI サーバー モードに入り、次にサーバー モードから CLI コマンドを実行 show ip して、以下に示すようにプライベート IP とパブリック IP を表示します。これらは AWS の設定と一致する必要があります。
    メモ:

    AWS 固有の CLI コマンド、および CLI モードとコマンドの使用方法の詳細については、「CLI コマンドリファレンスガイド」を参照してください。
    メモ:

    ハイブリッド クラウド/プライベート ネットワークの展開はまだサポートされていません。この時点で、すべてのジュニパー ATP アプライアンスのコアコンポーネントは、AWS に併置する必要があります。つまり、AWS に仮想コアをインストールし、プライベートエンタープライズネットワークにセカンダリコアをインストールすることはできません (プライベートエンタープライズネットワークが AWS Core が配置されている VPC に VPN を使用して接続されていない限り)。
  6. AWS Core を起動すると、AMI 仮想コアインスタンスは通常のアプライアンスと同じように起動し、仮想コアが起動したら、次のステップは通常の仮想コアと同様に仮想コア CLI で CLI セットアップウィザードを実行することです。仮想コアを設定するためのウィザードの実行手順については、『コア/Central Manager クイック スタート ガイド』を参照してください。また、クイックスタートガイドには、追加のコア、クラスター化されたコア、セカンダリコア、またはOVAコアのインストールに関する情報があります。
    メモ:

    2 つのディスクが設定された仮想コア (AMI または OVA) の最初の起動時に、アプライアンスは使用する 2 番目のディスクのセットアップに時間がかかります。このプロセス中、システムを使用する準備ができていません。完全なプロセスには最大10分かかる場合があります。最初の起動後10分待ってから、システムにログインして構成を開始します。
  7. この AWS 仮想コアのセカンダリコアを作成するには、AWS マネジメントコンソール に戻り、さらにいくつかの AMI インスタンスを起動してから、SSH 経由で CLI にログインし、それらの仮想コアセントラルマネージャーの IP アドレスをプライマリ仮想コア CM にポイントします。このプロセスは、クラスター化された展開のセクションのコア/中央マネージャークイックスタートガイドで説明されています。
  8. AWS vCore デプロイ用の Juniper ATP アプライアンス トラフィックコレクターのインストールと設定については、トラフィックコレクタークイックスタートガイドを参照してください。
    メモ:

    AWS Core へのアウトバウンド接続をブロックするファイアウォールルールがないことを確認します。ただし、送信 CnC 検出トラフィックが AWS 検出 VM を離れるのがブロックされることに注意してください。
  9. Juniper ATP Appliance Central Manager Web UIからAWSの設定を表示します。CM Web UIへのアクセスとナビゲートについては、このガイドの「 Juniper ATP Appliance Central Manager Web UIへのアクセス 」セクションを参照してください。

    Central Manager の Config>Golden Image VM ページで、AWS では 32 ビットイメージが使用可能であることに注意してください。参考のために以下の図を参照してください。

関連ドキュメント