Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページ
 

AWS vCore AMI をインストールして設定するには

Juniper ATP Appliance vCore for AWSには、Juniper ATP ApplianceとAWSライセンスアカウントの両方が必要です。インストールと設定プロセスでは、Amazon AWS マネジメント コンソール(パート 1)と Juniper ATP Appliance vCore Central Manager Web UI および CLI(パート 2)の両方を使用します。

メモ:

注: vCore AMIライセンスを購入した後、AWSマネジメントコンソールを使用してvCore AMIを設定して起動することで、AWSカスタマーアカウントとvCore AMIを共有します。

以下に、一般的な AWS AMI 設定ワークフローを示します。コンソールの使用方法の詳細については、AWS マネジメントコンソールオペレーションガイドを参照してください。

パート1- Amazon AWSマネジメントコンソールvCore AMI設定

  1. Amazon AWS マネジメントコンソールで AWS データベース アカウントにログインします。console.aws.amazon.com
  2. AWSマネジメントコンソールダッシュボードから、EC2サービスを選択します。
  3. EC2 サービスで、AWS コンソールの左メニューから [IMAGES>AMI] オプションをクリックします。また、ドロップダウンメニューをクリックして、画像の所有権タイプを「自分の所有」から「プライベート画像」に変更します。
  4. 表のラジオ ボタンをクリックして、インストールする Juniper ATP Appliance AMI イメージを選択します。
  5. [ゾーンドロップダウン]メニューから、AMIを設定するゾーンを選択します。この例では、Juniper ATP Appliance の「rsa-demo-cm」AMI が選択されています。(AWS コアを起動する前に、Juniper ATP Appliance AMI が共有されます)。
  6. [起動] をクリックして、企業向けのこの Juniper ATP Appliance vCore AMI インスタンス(EC2)の設定を開始します。
  7. [インスタンスタイプの選択]ページで、AMIのインスタンスタイプを選択します。この例では、「c4 large」を選択しました。[次へ: インスタンスの構成] をクリックします。
  8. [インスタンスの詳細の構成] ページで、[ネットワーク] ドロップダウン メニューから既存の顧客定義仮想プライベート クラウド(VPC)を選択します。この例では、rsa-demo-1 を選択しました。

    新しい VPC を作成するには、[新しい VPC の作成] リンクをクリックし、手順に従います。

  9. [サブネット] フィールドで VPC サブネットを定義します。この例では、AWS 10.2.0.0/16 を使用しました。

    新しいサブネットを作成するには、[新しいサブネットの作成] リンクをクリックし、手順に従います。

  10. 上記の例のように、自動割り当て済みパブリック IP を使用してサブネット us を確認します。これにより、Juniper ATP Appliance vCoreにインターネットからアクセスできます。
  11. クリックして終了保護を有効にして、不慮の終了から保護します。
    メモ:

    各 AMI インスタンスは、プライベート IP とパブリック IP を使用します。複数のセカンダリ コアを備えた 1 つの vCore + Central Manager のインストールを計画している場合は、パブリック IP アドレスを割り当てられている必要があります。セカンダリ コアには Web UI が含まれていないため、パブリック IP は必要ありません。

    また、企業によっては、VPN を使用して AWS VPC をプライベート ネットワークに接続しています。この場合、VPN を介してインターネット アクセスを設定できるため、パブリック IP をサブネットに割り当てる必要はありません。
  12. [次へ: ストレージの追加] をクリックします。
    メモ:

    「暗号化」をクリックして、データ量を暗号化します。
  13. Juniper ATP Appliance は、すでにコアに 1 テラバイトのストレージを提供しています。AWS ストレージボリュームの最大サイズには制限があるため、このページで追加の設定を行う必要はありません。vCoreに余分なストレージを追加しないでください。[次へ] をクリックします。
  14. [タグインスタンス]ページで[タグの作成]をクリックし、タグ名と説明を入力します。
  15. [次へ: セキュリティの構成] をクリックして続行します。
  16. セキュリティグループは基本的に AWS のファイアウォールです。ほとんどのお客様はすでに既存のファイアウォールを使用しているため、既存のセキュリティ グループを選択するか、新しいセキュリティ グループを作成を選択します。セキュリティグループに、AWS コアと AWS セカンダリ コア間の通信を許可するルールがあることを確認してください。
  17. 新しいセキュリティ グループを作成する場合は、[セキュリティ グループ名] フィールドと [説明] フィールドにそれぞれ名前と説明を入力します。
  18. ポート指定を入力します。Juniper ATP Appliance vCore では、ポート 22、80、443 のみが許可されます。[次へ] をクリックします。
    メモ:

    JUNiper ATP Appliance vCore にはパスワード保護がすでに含まれていますが、SSH キーを設定できます。さらに保護を追加するには、最初にキーペアを追加してから、CLI専用ログインにJuniper ATP Applianceパスワードを使用します。AWS ではキーペアを設定する必要があります。pemのみのログインは使用できません。
  19. SSHキーを設定するには、既存のキーペアを選択するか、新しいキーペアを作成します。
  20. 既存のセキュリティグループを選択する場合は、リストから選択して[次へ]をクリックします。

    [Review Instance Launch](インスタンス起動の確認)ページには、次の内容が表示されます。

  21. [Review Instance Launch](インスタンス起動の確認)ページで、インスタンス起動の詳細を確認し、[インスタンスの編集]をクリックして変更を行うか、[起動]をクリックしてインスタンスを作成します。

    [起動ステータス] ウィンドウが表示されます。一部

パート2 - Juniper ATP Appliance vCore AMIインスタンスの実行

次に、AWS管理コンソールからJuniper ATP Appliance vCore AMIインスタンスを初期化し、コマンドを使用してJuniper ATP Appliance Central Manager CLIでAMIを show ip 検証します。

  1. [AWSマネジメントコンソールインスタンス]ページを開き、起動したAMIインスタンスステータスを表示します。起動されたインスタンスが初期化を終了すると、緑色のアイコンが表示され、「実行中」ステータスを示します。
  2. 起動したインスタンスを選択し、インスタンステーブルの下部にあるパネルを開いてインスタンスの詳細を確認します。
  3. vCore CLI設定のインスタンスIDとインスタンスタイプ「c4-large2」をコピーします。
    メモ:

    プライベート IP アドレスは DHCP 設定であり、AWS では静的であり、適切な運用中は変更しないことに注意することが非常に重要です。

    必要に応じてDNSを変更できますが、AMIホスト名を変更することはできません。

    DNS について: AWS vCore がエンタープライズ内にないため、脅威ターゲットのリバース DNS は、予想されるターゲット ホスト名に解決されません。企業ネットワークから VPC に VPN 経由で接続した場合、混乱を招くことはめったにありません。一般的に、内部 DNS サーバーは企業外に公開されません。そのため、Juniper ATP Appliance は AWS vCore を設定して内部 DNS サーバーに到達することはできません。内部 DNS サーバーが外部向け IP アドレスを使用していて、管理者がそれに接続を許可する意思がある場合、これは妥当なソリューションです。vCore が使用する DNS サーバーには、Juniper ATP Appliance Traffic Collector が配置されているネットワークの DNS 情報が含まれていないことに注意してください。これは、Traffic Collector とコア/CM が同じエンタープライズ ネットワークに配置されていない分散型導入に典型的です。
  4. パブリック IP アドレスをコピーして、SSH/Putty 経由で vCore AWS インスタンス CLI にアクセスします。
  5. Juniper ATP Appliance CLIプロンプトで、サーバーを入力してCLIサーバーモードに入り、次にサーバーモードからCLIコマンド show ip を実行して、プライベートIPとパブリックIPを表示します。これらは AWS 設定と一致する必要があります。
    メモ:

    AWS 固有の CLI コマンド、および CLI モードとコマンドの使用方法の詳細については、「CLI コマンド リファレンス ガイド」を参照してください。
    メモ:

    ハイブリッド クラウド/プライベート ネットワークの導入はまだサポートされていません。現時点では、すべての Juniper ATP Appliance コア コンポーネントを AWS に同じ場所に配置する必要があります。つまり、プライベート エンタープライズ ネットワークに AWS に vCore、プライベート エンタープライズ ネットワークにセカンダリ コアをインストールすることはできません(プライベート エンタープライズ ネットワークが VPN を使用して AWS コアが配置されている VPC に接続されている場合を除く)。
  6. AWSコアを起動すると、AMI vCoreインスタンスは通常のアプライアンスと同様に起動し、vCoreが起動した後は、通常の仮想コアと同様に、vCore CLIでCLI設定ウィザードを実行します。仮想コアを構成するためのウィザードの実行手順については、Core/Central Manager クイックスタート ガイドを参照してください。クイックスタート ガイドでは、追加のコア、クラスター コア、セカンダリ コア、または OVA コアのインストールに関する情報も参照してください。
    メモ:

    2つのディスクが設定された仮想コア(AMIまたはOVA)の最初のブート時に、アプライアンスが使用する2番目のディスクの設定に時間がかかります。このプロセスでは、システムは使用する準備ができていません。完全なプロセスには最大 10 分かかる場合があります。システムにログインして構成を開始する前に、最初のブートから 10 分待ちます。
  7. この AWS vCore のセカンダリ コアを作成するには、AWS 管理コンソールに戻り、もう少し AMI インスタンスを起動してから、SSH 経由でCLIにログインし、それらの vCore Central Manager IP アドレスをプライマリ vCore CM にポイントします。このプロセスについては、「クラスター化された導入」のセクションの『Core/Central Manager クイックスタート ガイド』で説明されています。
  8. AWS vCore 導入向け Juniper ATP Appliance Traffic Collectors のインストールと設定の詳細については、「Traffic Collectors クイックスタート ガイド」を参照してください。
    メモ:

    AWS Core へのアウトバウンド接続をブロックするファイアウォール ルールがないことを確認します。ただし、アウトバウンド CnC 検知トラフィックが AWS 検知 VM から離れることがブロックされていることを認識してください。
  9. CM Web UI へのアクセスとナビゲーションに関する情報については、Juniper ATP Appliance Central Manager Web UI から AWS 設定を表示します。このガイドのセクションを参照してください。

    Central Manager Config>Golden Image VMページで、32ビットの画像がAWSで使用可能であることに注意してください。リファレンスについては、以下の図を参照してください。

関連ドキュメント