【セキュリティ編】サーバーパッチ管理パターン
FJcloud-Vで提供しているソリューションサービスを利用して、サーバーのOSやソフトウェアに対するパッチ管理を実施するパターンです。
解決したい課題/要求事項
-
OSやソフトウェアに対するパッチ(正規パッチ・仮想パッチ)を迅速に適用し、サイバー攻撃のリスクを低減したい
-
管理しているサーバーのパッチ適用状況を可視化・一元管理したい
-
日々公開されるセキュリティパッチの適用を自動化し、運用負荷を軽減したい
解決パターン
-
サーバーにパートナーが提供しているパッチ管理向けサービスのエージェントをインストールする
実装
-
サーバー上に各サービスのエージェントをインストールする
-
パッチ管理用の設定を実施する
補足
- 【用途例1】 バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)
-
-
脆弱性診断及びパッチ管理の機能は クラウド技術仕様/制限値(バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud))_RMM(リモート監視と管理) を参照
-
パッチ管理モジュールを有効化するには、脆弱性診断モジュールの有効化が必要
-
パッチ管理の設定は Acronis社のドキュメント_パッチ管理 を参照
-
アップデートの失敗に備えて、アップデート前のバックアップ実行が可能
-
- 【用途例2】 サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)
-
-
仮想パッチは、脆弱性を狙う攻撃コードをIPS/IDSルールでブロックする侵入防御の機能
-
侵入防御の設定は Trend Micro社のドキュメント_侵入防御の設定 を参照
-
侵入防御の機能は、「検出」または「防御」のいずれかのモードで動作する
-
詳細は Trend Micro社のドキュメント_侵入防御についてを参照
-
-
注意点
既に他のセキュリティソフトウェアが導入されている場合は、本ソリューションサービスの機能と競合する可能性があるため、導入前に事前の確認と検証が必要
その他、個別の注意事項は各ソリューションサービスのドキュメント等を参照
- 【用途例1】 バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)
-
-
パッチ管理のサポート対象は、WindowsOSのみ
-
Windowsアップデートを使用するには、パッチ管理機能の対象OS上でWindowsアップデートが有効になっている必要がある
-
パッチの適用によって予期せぬ不具合が発生するリスクを軽減するため、本番環境への適用前に、テスト環境でパッチの互換性や再起動の必要性等、十分な検証が必要
-
パッチのダウンロードによるネットワーク帯域幅への負荷を考慮し、パッチを適用する時間帯や頻度の検討が必要
-
- 【用途例2】 サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)
-
-
侵入防御がサポートされているOSの一覧は Trend Micro社のドキュメント_プラットフォーム別のサポート機能を参照
-
仮想パッチは、脆弱性の発見後から正規パッチが配布されるまでの間の一時的な対策であり、正規パッチの適用に置き換わるものではない
-
新しい仮想パッチを適用する際は、「検出」モードを使用して通常のトラフィックに誤検知がないことを確認後、「防御」モードに切り替えることを推奨
-
本パターンの構成要素
本パターンを実現するためのサービス構成要素例です。
- 【用途例1】バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)
- 【用途例2】サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security)
-
サービス名
タイプ
用途
数量
備考
-
仮想パッチ
1
IPS/IDSルールでブロック
c2-medium
-
1
-
-
-
1
-
-
-
1
任意で利用
