オンプレミス・ネットワークのインスタンス・セキュリティの有効化
オンプレミス・ネットワークでインスタンス・セキュリティ・エージェントを有効にするステップについて説明します。
Oracle Cloud Agentが有効になっていないフリートでカスタム・イメージを実行している場合は、theInstanceセキュリティ(以前のワークロード保護またはWLP)エージェントを手動でインストールする必要があります。
フリート上のエージェントは毎月アップグレードする必要があります。インスタンス・セキュリティ・エージェントの手動更新を参照してください。
インスタンス・セキュリティ・エージェントを削除するには、インスタンス・セキュリティ・エージェントのアンインストールを参照してください。
これらのステップは、オンプレミス・ホストのテナンシ専用です。
前提条件
- インスタンス・セキュリティの有効化のタスクに従って、クラウド・ガードでインスタンス・セキュリティを有効にします:
- Oracle管理インスタンス・セキュリティ・ディテクタ・レシピのいずれかをターゲットに適用します。
- コンソールにインスタンス・セキュリティのポリシー・ステートメントを追加します。
- コンパートメントのOCIDを書き留めます。コンパートメントのリストを参照してください。
ポリシーを追加しています
コンソールで次のポリシーを追加する必要があります。ポリシーの作成に関する項を参照してください。
Endorse any-user to read objects in any-tenancy where all { target.bucket.name = 'wlp-agent' }
Allow any-user to { WLP_BOM_READ, WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Endorse any-user to { WLP_LOG_CREATE, WLP_METRICS_CREATE, WLP_ADHOC_QUERY_READ, WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Allow any-user to { WLP_AGENT_CREATE, WLP_AGENT_DELETE, WLP_AGENT_UPDATE } in tenancy
Endorse any-user to inspect certificate-authority-family in any-tenancy where request.obo-service.name = 'workloadprotection'
Endorse any-user to use certificate-authority-delegate in any-tenancy where request.obo-service.name = 'workloadprotection'
Endorse any-user to manage leaf-certificate-family in any-tenancy where request.obo-service.name = 'workloadprotection'
Endorse any-user to read leaf-certificate-bundles in any-tenancy where any {request.principal.id = target.resource.tag.wlp.userid, request.principal.id = target.resource.tag.wlp.agentid}
Endorse any-user to use tag-namespaces in any-tenancy where request.obo-service.name = 'workloadprotection'
オンプレミス構成ファイルの作成準備
- ユーザー主体セッション tokenを取得します。
- CLIを使用して、秘密キーおよびセッション・トークンを生成します。コンピュータのターミナルで、次を実行します:
oci session authenticate --region <region>
新しいブラウザ・ページが開き、OCI資格証明を入力します。認証に成功したら、ブラウザを閉じます。
OCI CLIがインストールされていない場合は、CLIのインストール・クイックスタートのステップに従います。
- ターミナルで、ユーザー・セッション・トークンを保存するプロファイル名を入力します。次に例を示します:
$ oci session authenticate --region us-ashburn-1 Please switch to newly opened browser window to log in! You can also open the following URL in a web browser window to continue: https://login.us-ashburn-1.oraclecloud.com/v1/oauth2/authorize?action=login&client_id=iaas_console&response_type=token+id_token&nonce=<unique-ID> Completed browser authentication process! Enter the name of the profile you would like to create: production Config written to: /Users/<user>/.oci/config Try out your newly created session credentials with the following example command: oci iam region list --config-file /Users/<user>/.oci/config --profile production --auth security_token
- これを実行して、ユーザー・セッション・トークンを検証します。
oci session validate --config-file <YOUR_CONFIG_FILE_PATH> --profile <YOUR_PROFILE_NAME> --region <region> --auth security_token
これにより、資格証明の有効期限(約1時間)が表示され、すでに失効している場合は再認証するよう求められます。
次に例を示します:$ oci session validate --config-file /Users/<user>/.oci/config --profile production --region us-ashburn-1 --auth security_token Session is valid until 2024-05-07 16:41:32
- ユーザーに書込みアクセス権がある場所(
.oci
など)で、リモート・ホストに新しいフォルダを作成します。この名前のフォルダがすでにある場合は、別の名前のフォルダを作成します。 - 作成したフォルダに秘密キーとセッション・トークンを取得します。
- Linuxの場合: 作成したフォルダへの秘密キーおよびセッション・トークンの場合はscpを使用します。
# Private key example path - ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem # Token example path = ~/.oci/sessions/<YOUR_PROFILE_NAME>/token scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem opc@<ip>:/home/opc/.oci scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/token opc@<ip>:/home/opc/.oci
- Windowsの場合: 同じ2つのファイルを
C:\Users\opc
またはユーザーが書込みアクセス権を持つ別の場所にコピー・アンド・ペーストします。
- Linuxの場合: 作成したフォルダへの秘密キーおよびセッション・トークンの場合はscpを使用します。
オンプレミス構成ファイルの作成
- 場所は環境変数によって制御されます。
- Linuxの場合、環境変数は
WLP_ON_PREM_AGENT_CONFIG_PATH
で、デフォルトのパスは/etc/wlp/config
です。 - Windowsの場合、環境変数は
wlp_on_prem_agent_prod_config_path
で、デフォルトのパスはC:\ProgramData\wlpagent\config
です。
- Linuxの場合、環境変数は
- オンプレミス構成ファイルの可能な内容:
- リージョン:オンプレミス・ホストのモニタリング・リージョン。
- tenantId: WLPを有効にしてターゲットを作成したテナンシOCID。
- compartmentId: WLPレシピがアタッチされているターゲットに関連付けられたコンパートメントOCID
- privateKeyPath: OCIセッション認証コマンドによって保存された秘密キー・ファイル・パス
- securityTokenPath: OCIセッション認証コマンドによって保存されたセキュリティ・トークン・パス
- proxyEndpoint:プロキシ・サーバーのhttpsプロキシ・エンドポイント。これは、独自のプロキシ・サーバーが設定されており、エージェントからのすべてのリクエストをプロキシ・サーバーで制御する場合にのみ必要です。インスタンス・セキュリティでは、オンデマンド問合せの実行にもWebソケット・エンドポイントを使用するため、プロキシ・サーバーもWebソケット・プロキシをサポートするように構成する必要があります。インスタンス・セキュリティ・エージェントを正しく動作させるには、次のサーバー・エンドポイントを許可リストに登録する必要があります。
dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oralcecloud.com)
adhoc.workloadprotection.{region}.oci.{domain_name}
(例:workloadprotection.us-ashburn-1.oci.oraclecloud.com
)cloudguard-cp-api.{region}.oci.{domain_name}
(例:cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.com
)certificates.{region}.oci.{domain_name}
(例:certificates.us-ashburn-1.oraclecloud.com
)
proxyEndpoint形式の例:
http[s]://<proxy_username>:<proxy_password>@<proxy_url>:<proxy_port>
- 構成ファイルとその内容を作成します。
- Linuxの場合:
#ubuntu@wlp-cp-ubuntu-1:~$ sudo su root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/ root@wlp-cp-ubuntu-1:/etc/wlp# touch config # paste or edit the contents of config in vi config as shown below root@wlp-cp-ubuntu-1:/etc/wlp# vi config root@wlp-cp-ubuntu-1:/etc/wlp# cat config { "region": "us-ashburn-1", "tenantId": "ocid1.tenancy.oc1..<example-ID>", "compartmentId": "ocid1.compartment.oc1..<example-ID>", "privateKeyPath": "/home/ubuntu/.oci/oci_api_key.pem", "securityTokenPath": "/home/ubuntu/.oci/token", "proxyEndpoint": "http://user:pass@proxy.com:3333" }
- Windows:
- この場所
C:\ProgramData\wlpagent
に移動します。 config
という新しいファイルを作成します。- このコードを新しい
config
ファイルに貼り付けます。
cd C:\ProgramData\wlpagent C:\ProgramData\wlpagent>( More? echo { More? echo "region": "us-ashburn-1", More? echo "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea", More? echo "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq", More? echo "privateKeyPath": "C:\Users\opc\oci_api_key.pem", More? echo "securityTokenPath": "C:\Users\opc\token" More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333" More? echo } More? ) > config C:\ProgramData\wlpagent> C:\ProgramData\wlpagent>more config { "region": "us-ashburn-1", "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea", "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq", "privateKeyPath": "C:\Users\opc\oci_api_key.pem", "securityTokenPath": "C:\Users\opc\token", "proxyEndpoint": "http://user:pass@proxy.com:3333" } C:\ProgramData\wlpagent>
- この場所
- Linuxの場合:
プロキシ構成ファイルの作成
オンプレミス・シナリオがなく、プロキシ・シナリオのみの場合は、プロキシ構成ファイルを作成する必要があります。
- プロキシ構成ファイルの場所は、環境変数によって制御されます。
- Linuxの場合、環境変数は
WLP_PROXY_CONFIG_PATH
で、デフォルト・パスは/etc/wlp/proxy
です。 - Windowsの場合、環境変数は
wlp_proxy_prod_config_path
で、デフォルトのパスはC:\ProgramData\
です。wlpagent
\proxy
- Linuxの場合、環境変数は
- プロキシ設定ファイルの内容:
- proxyEndpoint: プロキシ・サーバーのhttpsプロキシ・エンドポイント。これは、独自のプロキシ・サーバーが設定されており、エージェントからのすべてのリクエストをプロキシ・サーバーで制御する場合にのみ必要です。インスタンス・セキュリティでは、オンデマンド問合せの実行にもWebソケット・エンドポイントを使用するため、プロキシ・サーバーもWebソケット・プロキシをサポートするように構成する必要があります。インスタンス・セキュリティ・エージェントを正しく動作させるには、次のサーバー・エンドポイントを許可リストに登録する必要があります。
dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oraclecloud.com)
adhoc.workloadprotection.{region}.oci.{domain_name}
(workloadprotection.us-ashburn-1.oci.oraclecloud.com
など)cloudguard-cp-api.{region}.oci.{domain_name}
(cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.com
など)certificates.{region}.oci.{domain_name}
(certificates.us-ashburn-1.oraclecloud.com
など)
- proxyEndpoint: プロキシ・サーバーのhttpsプロキシ・エンドポイント。これは、独自のプロキシ・サーバーが設定されており、エージェントからのすべてのリクエストをプロキシ・サーバーで制御する場合にのみ必要です。インスタンス・セキュリティでは、オンデマンド問合せの実行にもWebソケット・エンドポイントを使用するため、プロキシ・サーバーもWebソケット・プロキシをサポートするように構成する必要があります。インスタンス・セキュリティ・エージェントを正しく動作させるには、次のサーバー・エンドポイントを許可リストに登録する必要があります。
- プロキシ構成ファイルとその内容を作成します。
- Linuxの場合:
#ubuntu@wlp-cp-ubuntu-1:~$ sudo su root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/ root@wlp-cp-ubuntu-1:/etc/wlp# touch config # paste or edit the contents of config in vi config as shown below root@wlp-cp-ubuntu-1:/etc/wlp# vi config root@wlp-cp-ubuntu-1:/etc/wlp# cat config { "proxyEndpoint": "http://user:pass@proxy.com:3333" }
- Windowsの場合:
- この場所
C:\ProgramData\wlpagent
に移動します。 config
という新しいファイルを作成します。- このコードを新しい
config
ファイルに貼り付けます。
cd C:\ProgramData\wlpagent C:\ProgramData\wlpagent>( More? echo { More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333" More? echo } More? ) > config C:\ProgramData\wlpagent> C:\ProgramData\wlpagent>more config { "region": "us-ashburn-1", "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea", "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq", "privateKeyPath": "C:\Users\opc\oci_api_key.pem", "securityTokenPath": "C:\Users\opc\token", "proxyEndpoint": "http://user:pass@proxy.com:3333" } C:\ProgramData\wlpagent>
- この場所
- Linuxの場合:
インスタンス・セキュリティ・エージェントのインストール
次の表から、インスタンス・セキュリティ・エージェント・インストーラをダウンロードしてホストにコピーします。
ホストOS | ダウンロードへのリンク | コマンド |
---|---|---|
Oracle Linux 9 |
OL9 Arm - wlp-agent-1.1.231-250429.el9.aarch64.rpm OL9金額- wlp-agent-1.1.231-250429.el9.x86_64.rpm |
または
|
Oracle Linux 8 |
OL8 Arm - wlp-agent-1.1.231-250429.el8.aarch64.rpm OL8金額- wlp-agent-1.1.231-250429.el8.x86_64.rpm |
または
|
Oracle Linux 7 |
OL7 Arm - wlp-agent-1.1.231-250429.el7.aarch64.rpm OL7金額- wlp-agent-1.1.231-250429.el7.x86_64.rpm |
または
|
Ubuntu |
Ubuntu Arm - wlp-agent-1.1.231-250429.ubuntu1.arm64.deb Ubuntu24金額- wlp-agent-1.1.231-250429.ubuntu24.amd64.deb Ubuntu24 Arm - wlp-agent-1.1.231-250429.ubuntu24.arm64.deb |
|
Debian |
Debian Amd - wlp-agent-1.1.231-250429.debian.amd64.deb |
または
|
Windows | https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-<version>.amd64.exe |
|
インスタンス・セキュリティ・エージェント・ステータスの確認
インスタンス・セキュリティ・エージェントのステータスとそのログをチェックして、オンプレミス・アイデンティティが取得されているかどうかを確認します。
- エージェントを再起動します。
- Linux:
sudo systemctl status wlp-agent-osqueryd.service
- Windows:管理ツールに移動し、
wlp-agent
のサービスと検索を行い、サービスのステータスを確認します。
- Linux:
- エージェント・ログを確認します。
- Linux:
sudo tail -f /var/log/wlp-agent/wlp-agent.log
- Windows:
C:\Program Files\wlp-agent\logs\wlpagent.log
- Linux: