オンプレミス・ネットワークのインスタンス・セキュリティの有効化

前提条件

1. インスタンス・セキュリティの有効化のタスクに従って、クラウド・ガードでインスタンス・セキュリティを有効にします:
   • Oracle管理インスタンス・セキュリティ・ディテクタ・レシピのいずれかをターゲットに適用します。
   • コンソールにインスタンス・セキュリティのポリシー・ステートメントを追加します。
2. コンパートメントのOCIDを書き留めます。コンパートメントのリストを参照してください。

ポリシーを追加しています

コンソールで次のポリシーを追加する必要があります。ポリシーの作成に関する項を参照してください。

Endorse any-user to read objects in any-tenancy where all { target.bucket.name = 'wlp-agent' }

Allow any-user to { WLP_BOM_READ, WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
 
Endorse any-user to { WLP_LOG_CREATE, WLP_METRICS_CREATE, WLP_ADHOC_QUERY_READ, WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }

Allow any-user to { WLP_AGENT_CREATE, WLP_AGENT_DELETE, WLP_AGENT_UPDATE } in tenancy
 
Endorse any-user to inspect certificate-authority-family in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to use certificate-authority-delegate in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to manage leaf-certificate-family in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to read leaf-certificate-bundles in any-tenancy where any {request.principal.id = target.resource.tag.wlp.userid, request.principal.id = target.resource.tag.wlp.agentid}
 
Endorse any-user to use tag-namespaces in any-tenancy where request.obo-service.name = 'workloadprotection'

オンプレミス構成ファイルの作成準備

1. ユーザー主体セッション tokenを取得します。
2. CLIを使用して、秘密キーおよびセッション・トークンを生成します。コンピュータのターミナルで、次を実行します:

   oci session authenticate --region <region>

   新しいブラウザ・ページが開き、OCI資格証明を入力します。認証に成功したら、ブラウザを閉じます。

   OCI CLIがインストールされていない場合は、CLIのインストール・クイックスタートのステップに従います。

3. ターミナルで、ユーザー・セッション・トークンを保存するプロファイル名を入力します。
   次に例を示します:

   $ oci session authenticate --region us-ashburn-1
       Please switch to newly opened browser window to log in!
       You can also open the following URL in a web browser window to continue:
   https://login.us-ashburn-1.oraclecloud.com/v1/oauth2/authorize?action=login&client_id=iaas_console&response_type=token+id_token&nonce=<unique-ID>
       Completed browser authentication process!
   Enter the name of the profile you would like to create: production
   Config written to: /Users/<user>/.oci/config
    
       Try out your newly created session credentials with the following example command:
    
       oci iam region list --config-file /Users/<user>/.oci/config --profile production --auth security_token

4. これを実行して、ユーザー・セッション・トークンを検証します。

   oci session validate --config-file <YOUR_CONFIG_FILE_PATH> --profile <YOUR_PROFILE_NAME> --region <region> --auth security_token

   これにより、資格証明の有効期限(約1時間)が表示され、すでに失効している場合は再認証するよう求められます。

   次に例を示します:

   $ oci session validate --config-file /Users/<user>/.oci/config --profile production --region us-ashburn-1 --auth security_token
   Session is valid until 2024-05-07 16:41:32

5. ユーザーに書込みアクセス権がある場所(.ociなど)で、リモート・ホストに新しいフォルダを作成します。この名前のフォルダがすでにある場合は、別の名前のフォルダを作成します。
6. 作成したフォルダに秘密キーとセッション・トークンを取得します。
   • Linuxの場合: 作成したフォルダへの秘密キーおよびセッション・トークンの場合はscpを使用します。

     # Private key example path - ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem
     # Token example path = ~/.oci/sessions/<YOUR_PROFILE_NAME>/token
      
     scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem opc@<ip>:/home/opc/.oci
     scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/token opc@<ip>:/home/opc/.oci

   • Windowsの場合: 同じ2つのファイルをC:\Users\opcまたはユーザーが書込みアクセス権を持つ別の場所にコピー・アンド・ペーストします。

オンプレミス構成ファイルの作成

1. 場所は環境変数によって制御されます。
   • Linuxの場合、環境変数はWLP_ON_PREM_AGENT_CONFIG_PATHで、デフォルトのパスは /etc/wlp/configです。
   • Windowsの場合、環境変数はwlp_on_prem_agent_prod_config_pathで、デフォルトのパスは C:\ProgramData\wlpagent\configです。
2. オンプレミス構成ファイルの可能な内容:
   • リージョン:オンプレミス・ホストのモニタリング・リージョン。
   • tenantId: WLPを有効にしてターゲットを作成したテナンシOCID。
   • compartmentId: WLPレシピがアタッチされているターゲットに関連付けられたコンパートメントOCID
   • privateKeyPath: OCIセッション認証コマンドによって保存された秘密キー・ファイル・パス
   • securityTokenPath: OCIセッション認証コマンドによって保存されたセキュリティ・トークン・パス
   • proxyEndpoint:プロキシ・サーバーのhttpsプロキシ・エンドポイント。これは、独自のプロキシ・サーバーが設定されており、エージェントからのすべてのリクエストをプロキシ・サーバーで制御する場合にのみ必要です。インスタンス・セキュリティでは、オンデマンド問合せの実行にもWebソケット・エンドポイントを使用するため、プロキシ・サーバーもWebソケット・プロキシをサポートするように構成する必要があります。インスタンス・セキュリティ・エージェントを正しく動作させるには、次のサーバー・エンドポイントを許可リストに登録する必要があります。
     • dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oralcecloud.com)
     • adhoc.workloadprotection.{region}.oci.{domain_name} (例: workloadprotection.us-ashburn-1.oci.oraclecloud.com)
     • cloudguard-cp-api.{region}.oci.{domain_name} (例: cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.com)
     • certificates.{region}.oci.{domain_name} (例: certificates.us-ashburn-1.oraclecloud.com)

     proxyEndpoint形式の例:

     http[s]://<proxy_username>:<proxy_password>@<proxy_url>:<proxy_port>
3. 構成ファイルとその内容を作成します。
   • Linuxの場合:

     #ubuntu@wlp-cp-ubuntu-1:~$ sudo su
     root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp
     root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/
     root@wlp-cp-ubuntu-1:/etc/wlp# touch config
     # paste or edit the contents of config in vi config as shown below
     root@wlp-cp-ubuntu-1:/etc/wlp# vi config
     root@wlp-cp-ubuntu-1:/etc/wlp# cat config
     {
       "region": "us-ashburn-1",
       "tenantId": "ocid1.tenancy.oc1..<example-ID>",
       "compartmentId": "ocid1.compartment.oc1..<example-ID>",
       "privateKeyPath": "/home/ubuntu/.oci/oci_api_key.pem",
       "securityTokenPath": "/home/ubuntu/.oci/token",
       "proxyEndpoint": "http://user:pass@proxy.com:3333"
     }

   • Windows:
     • この場所C:\ProgramData\wlpagentに移動します。
     • configという新しいファイルを作成します。
     • このコードを新しいconfigファイルに貼り付けます。

     cd C:\ProgramData\wlpagent
     C:\ProgramData\wlpagent>(
     More? echo {
     More? echo  "region": "us-ashburn-1",
     More? echo "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
     More? echo  "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
     More? echo "privateKeyPath": "C:\Users\opc\oci_api_key.pem",
     More? echo "securityTokenPath": "C:\Users\opc\token"
     More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333"
     More? echo }
     More? ) > config
      
     C:\ProgramData\wlpagent>
     C:\ProgramData\wlpagent>more config
     {
      "region": "us-ashburn-1",
     "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
      "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
     "privateKeyPath": "C:\Users\opc\oci_api_key.pem",
     "securityTokenPath": "C:\Users\opc\token",
     "proxyEndpoint": "http://user:pass@proxy.com:3333" 
     }
      
     C:\ProgramData\wlpagent>

プロキシ構成ファイルの作成

オンプレミス・シナリオがなく、プロキシ・シナリオのみの場合は、プロキシ構成ファイルを作成する必要があります。

1. プロキシ構成ファイルの場所は、環境変数によって制御されます。
   • Linuxの場合、環境変数はWLP_PROXY_CONFIG_PATHで、デフォルト・パスは /etc/wlp/proxyです。
   • Windowsの場合、環境変数はwlp_proxy_prod_config_pathで、デフォルトのパスは C:\ProgramData\wlpagent\proxyです。
2. プロキシ設定ファイルの内容:
   • proxyEndpoint: プロキシ・サーバーのhttpsプロキシ・エンドポイント。これは、独自のプロキシ・サーバーが設定されており、エージェントからのすべてのリクエストをプロキシ・サーバーで制御する場合にのみ必要です。インスタンス・セキュリティでは、オンデマンド問合せの実行にもWebソケット・エンドポイントを使用するため、プロキシ・サーバーもWebソケット・プロキシをサポートするように構成する必要があります。インスタンス・セキュリティ・エージェントを正しく動作させるには、次のサーバー・エンドポイントを許可リストに登録する必要があります。
     • dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oraclecloud.com)

     • adhoc.workloadprotection.{region}.oci.{domain_name} (workloadprotection.us-ashburn-1.oci.oraclecloud.comなど)
     • cloudguard-cp-api.{region}.oci.{domain_name} (cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.comなど)
     • certificates.{region}.oci.{domain_name} (certificates.us-ashburn-1.oraclecloud.comなど)
3. プロキシ構成ファイルとその内容を作成します。
   • Linuxの場合:

     #ubuntu@wlp-cp-ubuntu-1:~$ sudo su
     root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp
     root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/
     root@wlp-cp-ubuntu-1:/etc/wlp# touch config
     # paste or edit the contents of config in vi config as shown below
     root@wlp-cp-ubuntu-1:/etc/wlp# vi config
     root@wlp-cp-ubuntu-1:/etc/wlp# cat config
     {
       "proxyEndpoint": "http://user:pass@proxy.com:3333"
     }

   • Windowsの場合:
     • この場所C:\ProgramData\wlpagentに移動します。
     • configという新しいファイルを作成します。
     • このコードを新しいconfigファイルに貼り付けます。

     cd C:\ProgramData\wlpagent
     C:\ProgramData\wlpagent>(
     More? echo {
     More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333"
     More? echo }
     More? ) > config
      
     C:\ProgramData\wlpagent>
     C:\ProgramData\wlpagent>more config
     {
      "region": "us-ashburn-1",
     "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
      "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
     "privateKeyPath": "C:\Users\opc\oci_api_key.pem",
     "securityTokenPath": "C:\Users\opc\token",
     "proxyEndpoint": "http://user:pass@proxy.com:3333" 
     }
      
     C:\ProgramData\wlpagent>

インスタンス・セキュリティ・エージェントのインストール

次の表から、インスタンス・セキュリティ・エージェント・インストーラをダウンロードしてホストにコピーします。

インスタンス・セキュリティ・エージェント・ステータスの確認

インスタンス・セキュリティ・エージェントのステータスとそのログをチェックして、オンプレミス・アイデンティティが取得されているかどうかを確認します。

• エージェントを再起動します。
  • Linux: sudo systemctl status wlp-agent-osqueryd.service
  • Windows:管理ツールに移動し、wlp-agentのサービスと検索を行い、サービスのステータスを確認します。
• エージェント・ログを確認します。
  • Linux: sudo tail -f /var/log/wlp-agent/wlp-agent.log
  • Windows: C:\Program Files\wlp-agent\logs\wlpagent.log