オンプレミス・ネットワークのインスタンス・セキュリティの有効化

オンプレミス・ネットワークでインスタンス・セキュリティ・エージェントを有効にするステップについて説明します。

Oracle Cloud Agentが有効になっていないフリートでカスタム・イメージを実行している場合は、theInstanceセキュリティ(以前のワークロード保護またはWLP)エージェントを手動でインストールする必要があります。

フリート上のエージェントは毎月アップグレードする必要があります。インスタンス・セキュリティ・エージェントの手動更新を参照してください。

インスタンス・セキュリティ・エージェントを削除するには、インスタンス・セキュリティ・エージェントのアンインストールを参照してください。

ノート

これらのステップは、オンプレミス・ホストのテナンシ専用です。

前提条件

  1. インスタンス・セキュリティの有効化のタスクに従って、クラウド・ガードでインスタンス・セキュリティを有効にします:
    • Oracle管理インスタンス・セキュリティ・ディテクタ・レシピのいずれかをターゲットに適用します。
    • コンソールにインスタンス・セキュリティのポリシー・ステートメントを追加します。
  2. コンパートメントのOCIDを書き留めます。コンパートメントのリストを参照してください。

ポリシーを追加しています

コンソールで次のポリシーを追加する必要があります。ポリシーの作成に関する項を参照してください。

エージェント・ダウンロード・ポリシー: インスタンス・セキュリティ・エージェントのダウンロードを許可します。
Endorse any-user to read objects in any-tenancy where all { target.bucket.name = 'wlp-agent' }
エージェント操作ポリシー: 通常のエージェント操作を許可します。
Allow any-user to { WLP_BOM_READ, WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
 
Endorse any-user to { WLP_LOG_CREATE, WLP_METRICS_CREATE, WLP_ADHOC_QUERY_READ, WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
オンプレミス・エージェント・ポリシー
Allow any-user to { WLP_AGENT_CREATE, WLP_AGENT_DELETE, WLP_AGENT_UPDATE } in tenancy
 
Endorse any-user to inspect certificate-authority-family in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to use certificate-authority-delegate in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to manage leaf-certificate-family in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to read leaf-certificate-bundles in any-tenancy where any {request.principal.id = target.resource.tag.wlp.userid, request.principal.id = target.resource.tag.wlp.agentid}
 
Endorse any-user to use tag-namespaces in any-tenancy where request.obo-service.name = 'workloadprotection'

オンプレミス構成ファイルの作成準備

  1. ユーザー主体セッション tokenを取得します。
  2. CLIを使用して、秘密キーおよびセッション・トークンを生成します。コンピュータのターミナルで、次を実行します:
    oci session authenticate --region <region>

    新しいブラウザ・ページが開き、OCI資格証明を入力します。認証に成功したら、ブラウザを閉じます。

    OCI CLIがインストールされていない場合は、CLIのインストール・クイックスタートのステップに従います。

  3. ターミナルで、ユーザー・セッション・トークンを保存するプロファイル名を入力します。
    次に例を示します:
    $ oci session authenticate --region us-ashburn-1
        Please switch to newly opened browser window to log in!
        You can also open the following URL in a web browser window to continue:
    https://login.us-ashburn-1.oraclecloud.com/v1/oauth2/authorize?action=login&client_id=iaas_console&response_type=token+id_token&nonce=<unique-ID>
        Completed browser authentication process!
    Enter the name of the profile you would like to create: production
    Config written to: /Users/<user>/.oci/config
     
        Try out your newly created session credentials with the following example command:
     
        oci iam region list --config-file /Users/<user>/.oci/config --profile production --auth security_token
  4. これを実行して、ユーザー・セッション・トークンを検証します。
    oci session validate --config-file <YOUR_CONFIG_FILE_PATH> --profile <YOUR_PROFILE_NAME> --region <region> --auth security_token

    これにより、資格証明の有効期限(約1時間)が表示され、すでに失効している場合は再認証するよう求められます。

    次に例を示します:
    $ oci session validate --config-file /Users/<user>/.oci/config --profile production --region us-ashburn-1 --auth security_token
    Session is valid until 2024-05-07 16:41:32
  5. ユーザーに書込みアクセス権がある場所(.ociなど)で、リモート・ホストに新しいフォルダを作成します。この名前のフォルダがすでにある場合は、別の名前のフォルダを作成します。
  6. 作成したフォルダに秘密キーとセッション・トークンを取得します。
    • Linuxの場合: 作成したフォルダへの秘密キーおよびセッション・トークンの場合はscpを使用します。
      # Private key example path - ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem
      # Token example path = ~/.oci/sessions/<YOUR_PROFILE_NAME>/token
       
      scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem opc@<ip>:/home/opc/.oci
      scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/token opc@<ip>:/home/opc/.oci
    • Windowsの場合: 同じ2つのファイルをC:\Users\opcまたはユーザーが書込みアクセス権を持つ別の場所にコピー・アンド・ペーストします。

オンプレミス構成ファイルの作成

  1. 場所は環境変数によって制御されます。
    • Linuxの場合、環境変数はWLP_ON_PREM_AGENT_CONFIG_PATHで、デフォルトのパスは /etc/wlp/configです。
    • Windowsの場合、環境変数はwlp_on_prem_agent_prod_config_pathで、デフォルトのパスは C:\ProgramData\wlpagent\configです。
  2. オンプレミス構成ファイルの可能な内容:
    • リージョン:オンプレミス・ホストのモニタリング・リージョン。
    • tenantId: WLPを有効にしてターゲットを作成したテナンシOCID。
    • compartmentId: WLPレシピがアタッチされているターゲットに関連付けられたコンパートメントOCID
    • privateKeyPath: OCIセッション認証コマンドによって保存された秘密キー・ファイル・パス
    • securityTokenPath: OCIセッション認証コマンドによって保存されたセキュリティ・トークン・パス
    • proxyEndpoint:プロキシ・サーバーのhttpsプロキシ・エンドポイント。これは、独自のプロキシ・サーバーが設定されており、エージェントからのすべてのリクエストをプロキシ・サーバーで制御する場合にのみ必要です。インスタンス・セキュリティでは、オンデマンド問合せの実行にもWebソケット・エンドポイントを使用するため、プロキシ・サーバーもWebソケット・プロキシをサポートするように構成する必要があります。インスタンス・セキュリティ・エージェントを正しく動作させるには、次のサーバー・エンドポイントを許可リストに登録する必要があります。
      • dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oralcecloud.com)
      • adhoc.workloadprotection.{region}.oci.{domain_name} (例: workloadprotection.us-ashburn-1.oci.oraclecloud.com)
      • cloudguard-cp-api.{region}.oci.{domain_name} (例: cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.com)
      • certificates.{region}.oci.{domain_name} (例: certificates.us-ashburn-1.oraclecloud.com)

      proxyEndpoint形式の例:

      http[s]://<proxy_username>:<proxy_password>@<proxy_url>:<proxy_port>
  3. 構成ファイルとその内容を作成します。
    • Linuxの場合:
      #ubuntu@wlp-cp-ubuntu-1:~$ sudo su
      root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp
      root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/
      root@wlp-cp-ubuntu-1:/etc/wlp# touch config
      # paste or edit the contents of config in vi config as shown below
      root@wlp-cp-ubuntu-1:/etc/wlp# vi config
      root@wlp-cp-ubuntu-1:/etc/wlp# cat config
      {
        "region": "us-ashburn-1",
        "tenantId": "ocid1.tenancy.oc1..<example-ID>",
        "compartmentId": "ocid1.compartment.oc1..<example-ID>",
        "privateKeyPath": "/home/ubuntu/.oci/oci_api_key.pem",
        "securityTokenPath": "/home/ubuntu/.oci/token",
        "proxyEndpoint": "http://user:pass@proxy.com:3333"
      }
    • Windows:
      • この場所C:\ProgramData\wlpagentに移動します。
      • configという新しいファイルを作成します。
      • このコードを新しいconfigファイルに貼り付けます。
      cd C:\ProgramData\wlpagent
      C:\ProgramData\wlpagent>(
      More? echo {
      More? echo  "region": "us-ashburn-1",
      More? echo "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
      More? echo  "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
      More? echo "privateKeyPath": "C:\Users\opc\oci_api_key.pem",
      More? echo "securityTokenPath": "C:\Users\opc\token"
      More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333"
      More? echo }
      More? ) > config
       
      C:\ProgramData\wlpagent>
      C:\ProgramData\wlpagent>more config
      {
       "region": "us-ashburn-1",
      "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
       "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
      "privateKeyPath": "C:\Users\opc\oci_api_key.pem",
      "securityTokenPath": "C:\Users\opc\token",
      "proxyEndpoint": "http://user:pass@proxy.com:3333" 
      }
       
      C:\ProgramData\wlpagent>

プロキシ構成ファイルの作成

オンプレミス・シナリオがなく、プロキシ・シナリオのみの場合は、プロキシ構成ファイルを作成する必要があります。

  1. プロキシ構成ファイルの場所は、環境変数によって制御されます。
    • Linuxの場合、環境変数はWLP_PROXY_CONFIG_PATHで、デフォルト・パスは /etc/wlp/proxyです。
    • Windowsの場合、環境変数はwlp_proxy_prod_config_pathで、デフォルトのパスは C:\ProgramData\wlpagent\proxyです。
  2. プロキシ設定ファイルの内容:
    • proxyEndpoint: プロキシ・サーバーのhttpsプロキシ・エンドポイント。これは、独自のプロキシ・サーバーが設定されており、エージェントからのすべてのリクエストをプロキシ・サーバーで制御する場合にのみ必要です。インスタンス・セキュリティでは、オンデマンド問合せの実行にもWebソケット・エンドポイントを使用するため、プロキシ・サーバーもWebソケット・プロキシをサポートするように構成する必要があります。インスタンス・セキュリティ・エージェントを正しく動作させるには、次のサーバー・エンドポイントを許可リストに登録する必要があります。
  3. プロキシ構成ファイルとその内容を作成します。
    • Linuxの場合:
      #ubuntu@wlp-cp-ubuntu-1:~$ sudo su
      root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp
      root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/
      root@wlp-cp-ubuntu-1:/etc/wlp# touch config
      # paste or edit the contents of config in vi config as shown below
      root@wlp-cp-ubuntu-1:/etc/wlp# vi config
      root@wlp-cp-ubuntu-1:/etc/wlp# cat config
      {
        "proxyEndpoint": "http://user:pass@proxy.com:3333"
      }
    • Windowsの場合:
      • この場所C:\ProgramData\wlpagentに移動します。
      • configという新しいファイルを作成します。
      • このコードを新しいconfigファイルに貼り付けます。
      cd C:\ProgramData\wlpagent
      C:\ProgramData\wlpagent>(
      More? echo {
      More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333"
      More? echo }
      More? ) > config
       
      C:\ProgramData\wlpagent>
      C:\ProgramData\wlpagent>more config
      {
       "region": "us-ashburn-1",
      "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
       "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
      "privateKeyPath": "C:\Users\opc\oci_api_key.pem",
      "securityTokenPath": "C:\Users\opc\token",
      "proxyEndpoint": "http://user:pass@proxy.com:3333" 
      }
       
      C:\ProgramData\wlpagent>

インスタンス・セキュリティ・エージェントのインストール

次の表から、インスタンス・セキュリティ・エージェント・インストーラをダウンロードしてホストにコピーします。

ホストOS ダウンロードへのリンク コマンド
Oracle Linux 9

OL9 Arm - wlp-agent-1.1.231-250429.el9.aarch64.rpm

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el9.aarch64.rpm

OL9金額- wlp-agent-1.1.231-250429.el9.x86_64.rpm

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el9.x86_64.rpm

sudo yum install <your-installer-full-path>

または

sudo rpm -ivh <your-installer-full-path>

Oracle Linux 8

OL8 Arm - wlp-agent-1.1.231-250429.el8.aarch64.rpm

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el8.aarch64.rpm

OL8金額- wlp-agent-1.1.231-250429.el8.x86_64.rpm

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el8.x86_64.rpm

sudo yum install <your-installer-full-path>

または

sudo rpm -ivh <your-installer-full-path>

Oracle Linux 7

OL7 Arm - wlp-agent-1.1.231-250429.el7.aarch64.rpm

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el7.aarch64.rpm

OL7金額- wlp-agent-1.1.231-250429.el7.x86_64.rpm

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el7.x86_64.rpm

sudo yum install <your-installer-full-path>

または

sudo rpm -ivh <your-installer-full-path>

Ubuntu

Ubuntu Arm - wlp-agent-1.1.231-250429.ubuntu1.arm64.deb

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu1.arm64.deb

Ubuntu24金額- wlp-agent-1.1.231-250429.ubuntu24.amd64.deb

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu24.amd64.deb

Ubuntu24 Arm - wlp-agent-1.1.231-250429.ubuntu24.arm64.deb

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu24.arm64.deb

sudo DEBIAN_FRONTEND=noninteractive NEEDRESTART_SUSPEND=1 apt-get -y install <your-installer-full-path>

Debian

Debian Amd - wlp-agent-1.1.231-250429.debian.amd64.deb

https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.debian.amd64.deb

sudo DEBIAN_FRONTEND=noninteractive apt-get -y install <your-installer-full-path>

または

sudo dpkg -i <your-installer-full-path>

Windows https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-<version>.amd64.exe
  • インストーラを便利な場所( C:\Users\opcなど)にコピー(アップロード)します。
  • 管理者モードでコマンド端末を開きます(電源シェルではありません)。
  • 端末内で次を実行します。

    • cmd /c start <installer-full-path> /quiet
    • 5秒間待機します。
  • ログは、C:\Program Files\wlpagent\logs\wlpagent.logにあります。

インスタンス・セキュリティ・エージェント・ステータスの確認

インスタンス・セキュリティ・エージェントのステータスとそのログをチェックして、オンプレミス・アイデンティティが取得されているかどうかを確認します。

  • エージェントを再起動します。
    • Linux: sudo systemctl status wlp-agent-osqueryd.service
    • Windows:管理ツールに移動し、wlp-agentのサービスと検索を行い、サービスのステータスを確認します。
  • エージェント・ログを確認します。
    • Linux: sudo tail -f /var/log/wlp-agent/wlp-agent.log
    • Windows: C:\Program Files\wlp-agent\logs\wlpagent.log