運用自動化ソフトウェア TrueSight Server Automation ご紹介 ·...

2019年11月富士通株式会社

運用自動化ソフトウェアTrueSight Server AutomationTrueSight Vulnerability Managementご紹介

Copyright 2019 FUJITSU LIMITED0

1. 製品概要・TrueSight Server Automation・TrueSight Vulnerability Management

2. TrueSight 製品の機能3. 利用シーン4. 事例5. 対応プラットフォーム

目次


TrueSight Server Automation TrueSight Vulnerability Management

1. 製品概要


Copyright 2019 FUJITSU LIMITED

サーバ運用・保守の自動化を強力に支援するソフトウェア

データセンター運用企業が作り上げたサーバ自動化製品

インフラ・OS

ミドルウェア

アプリケーション

33

■製品背景2001年 BladeLogic社により開発・販売が開始されました。BladeLogic社の創業メンバーは世界複数拠点のデータセンターを運営してきており、この経験・ノウハウを生かしBladeLogic(現在のTrueSight Server Automation)が開発されました。

■製品説明TrueSight Server Automationは、オンプレミスやクラウドで稼働しているサーバにおいて脆弱性管理、パッチ適用、コンプライアンス管理、構成変更、ソフトウェア配備、プロビジョニングを自動化する管理プラットフォームを提供します。これにより、サーバライフサイクル全体の作業工数の大幅な削減・自動化によるミスオペレーションの撲滅、また組織においてはルーティンワークに取られていた作業時間を短縮し、組織の最適化を実現します

OSからミドルウェア、アプリケーションまで幅広く自動化に対応

TrueSight Server Automationとは

3

TrueSight Vulnerability Managementとは

対処

脆弱性の影響や対処状況、適用すべきパッチを自動表示

脆弱性を診断し、診断データを出力

画面から簡単な操作でパッチ適用

読込み対処

脆弱性診断ツール

分析・可視化脆弱性診断対処

TrueSight Vulnerability ManagementTrueSight Server Automation(*)

(*)パッチの適用まで自動化するためには、TrueSight Server Automationが必要です。

TrueSight Vulnerability Management

QualysTenable Rapid7

脆弱性診断ツールと連携し、サーバの脆弱性対策を効率化するソフトウェア


運用コスト削減と作業ミス撲滅脆弱性診断ツールと連携し、脆弱性を分析・可視化、対処サーバのOS/ミドルウェア/アプリケーションのインストール・設定にかかる手間と時間を短縮ソフトウェア構成情報の収集やパッチ適用にかかる保守工数を低減システムのセキュリティポリシーの自動適用で安全なシステム環境を維持

5

55

TrueSight 製品の特長

TrueSight Server Automation SuiteTrueSight

Server AutomationConfiguration

TrueSightVulnerability Management

コンフィグレーション

• インベントリ（設定ファイル、サービスなどの記録・修正）

• パッケージ（MW等）• パッチ管理（分析・適用）• 構成比較（スナップショットやマスタサーバと比較)

脆弱性対策

• 脆弱性診断ツールとの連携• 脆弱性の分析・可視化• TrueSight Server Automationへ脆弱性パッチ適用を指示

プロビジョニング

• サーバへの新規/再インストール• 仮想マシンへの新規/再インストール

• サーバ固有値を設定• 複数のOSを統一的な操作でインストール

コンプライアンス

• ルールベースでのコンプライアンスチェック

• 違反項目を自動修正• GUIによる簡単なルール作成

• CIS、PCI DSSなどの豊富なテンプレート

※TrueSight Vulnerability Managementは、TrueSight Server Automation Suiteのオプション製品です。

マルチベンダー・マルチプラットフォーム環境のセキュリティ維持とサーバ運用を自動化


システム/機能構成図

TrueSightServer Automation

管理サーバ

TrueSightServer Automation

管理クライアント

TrueSight Server Automation設定画面

TrueSight Vulnerability Management脆弱性確認画面

TrueSightServer Automationアプリケーションサーバ

ファイルサーバ

データベースサーバ

PXE/TFTP/データストアサーバ

TrueSight Server Automation管理対象サーバ

TrueSightVulnerability Management

管理サーバ


HP-UX/AIXサーバSPARC Servers／SPARC Enterprise

PRIMERGYラックサーバ

PRIMERGYタワー型サーバ他社製PCサーバ

VMゲスト

VMホスト

TrueSightVulnerability Management管理対象サーバ

6

2. TrueSight 製品の機能

TSVM

TSSA TrueSight Server Automation

TrueSight Vulnerability Management


脆弱性の分析・可視化と対処脆弱性の影響や対処状況を把握・管理し、セキュリティパッチを効率的に適用

脆弱性を重要度、経過日数などグラフィカルに表示し、脆弱性の影響からパッチの適用計画の立案を支援。

検出された脆弱性の数、適用すべきパッチや対処状況を表示し、管理工数を削減。

自動作成のパッチ適用ジョブを実行することで、作業ミスなく複数サーバにパッチを適用し、確実にサーバから脆弱性を保護。

脆弱性の把握脆弱性の管理対処

脆弱性対策

TSVM TSSA


構成比較

２つのオブジェクト(ファイル、レジストリ、パッケージ、パッチなど)を比較して、同じ(一貫性がある)か、そうではないかを検出

セキュリティの維持やコンプライアンス目的で利用されます。例) 各企業で持っているサーバセキュリティガイドラインとの比較など

サーバ間の差異を見つけるために使用されます。例) 同じ内容の定義値であるべき値が変更されていないかのチェック

以前に取得したスナップショットと現在のライブ情報との比較例) 問題が発生した際に、正しく動作していた時の構成情報との比較

比較した結果、比較元との差分解消「マスタとの同期化」を行うことができます。


TSSA


パッチ分析・適用最新のOSパッチ情報を各OSベンダーから自動ダウンロードし、各サーバで

パッチ分析により未適用パッチを抽出状況に応じ、即時適用やスケジュール適用など柔軟なパッチ配付に対応

OSパッチ情報とパッチのカタログ。パッチカタログを更新することでパッチデータが更新される。

ルール設定により、パッチを自動的に分類。緊急のセキュリティパッチのみ適用などに使用可能。

分析結果から、全て適用/選択適用/ダウンロードのみなどの操作が可能。

-パッチカタログ- -パッチスマートグループ- -パッチ分析・適用-


TSSA


アカウント管理

複数プラットフォームの多数のサーバのアカウントを管理パスワードの定期的な変更などの面倒な処理を自動で実施

11

• GUIでアカウント情報を取り込み、修正することができます。• NSHスクリプトを使用することで、対象をOSを意識することなく、パスワードを変更できます。Windows

UNIX

NSHスクリプト


TSSA


コンプライアンスチェック

GUIで任意のルールを簡単に作成でき、サーバ構成(セキュリティ) を容易にチェック自動是正の機能を用いることにより常に正しい構成を維持

12

豊富なルールテンプレートを提供します。• 提供テンプレート一例

SOX法対応テンプレート ⇒米）SOX法に対応して作成されたサーバ構成ルール■ CISテンプレート ⇒米）Center for Internet Securityが作成したサーバ構成ルール■ PCI DSS ⇒米）PCIが規定するサーバセキュリティルール■ その他：HIPPA, NIST等

これらのテンプレートをベースに追加・削除・編集し、必要なルール群を作成することも可能です。※これらのテンプレートは米国BMC Software社において法律の専門家のチェックを受けています。

コンプライアンス

TSSA


サーバ構築の自動化仮想サーバ配備から配備後のセットアップ作業を一気通貫で実現することで、

作業ミスや手番を削減 VMテンプレート数を最適化することによりメンテナンス工数を削減

TrueSight Server Automation

管理ツール(VMware vCenter, SCVMM等)

Windows

ｿﾌﾄｳｪｱA

ハイパーバイザー(ESXi,Hyper-V等)

仮想サーバ仮想サーバ仮想サーバ

Linux

VMテンプレート

① 仮想サーバ配備

② 仮想サーバ配備後のセットアップソフトウェア/アプリケーションインストールOS/ソフトウェアの設定変更、パッチの適用など

サーバ構築に関わる作業全体を自動化

ｿﾌﾄｳｪｱB ｿﾌﾄｳｪｱC

Windows

業務アプリA 業務アプリC

業務アプリB 業務アプリD

業務アプリE

業務アプリF

Windows Linux

設定手順

ｿﾌﾄｳｪｱ業務アプリ

管理者

パッチ適用設定変更

業務アプリ業務アプリｿﾌﾄｳｪｱｿﾌﾄｳｪｱ

設定手順設定手順

プロビジョニング

TSSA


３. 利用シーン


利用シーン

③ 運用の自動化・運用手順をジョブで自動化・テスト機と本番機で同じジョブを実行

④トラブル発生時の調査・サーバ間の構成の差異を表示・修正・正常時の構成との差異を表示・修正

② コンプライアンス維持・業界標準ルールでサーバを監査・違反サーバを自動的に是正

➀ セキュリティパッチ適用・パッチ入手～適用までのプロセスを自動化・OSの種類に依らず統一操作でパッチ適用可


セキュリティパッチ適用パッチ適用の自動化によって手間と時間を削減しサーバを確実に脆弱性から保護

ダウンロード必要なパッチを定期的ベンダーからダウンロード

パッチ選別ルールに基づいて

セキュリティパッチを選別

適用複数サーバへパッチを一括適用

検証検証手順の自動化、結果の自動保存

検証環境本番環境

機能追加

障害修正

セキュリティパッチ

管理サーバ管理サーバ

手順


コンプライアンス維持

17

世界標準のセキュリティポリシーでサーバのコンプライアンス管理を支援サーバの設定確認から違反設定の是正までのプロセスを自動化

・チェック結果をhtmlで出力・遵守状況をダッシュボードで表示

標準チェックリストを基にOSの設定などをチェックサーバの設定を確認

コンプライアンス遵守状況の可視化

管理サーバ

違反設定を修正※例：システム暗号化、Guestアカウント削除、ユーザパスワードの長さの設定等

あるべき姿へ是正オンプレミス

クラウド


運用手順の自動化ジョブをGUIで簡単に作成・実行ジョブを複数サーバに配付・実行しミスや手間を削減事前にテスト機でジョブを検証するので本番機に安心して実施可

手順書

手順が多くミスや実行漏れ発生

ジョブ

テスト機

ジョブ

本番機

人手の場合 TrueSight Server Automationの場合

運用の自動化


サーバの構成情報(ファイル、パッチ、設定など)を詳細レベルで収集可能正常なサーバの構成情報とトラブルが発生したサーバの構成情報を比較する

ことで構成情報の違いが原因のトラブルを検出可能(過去の正常時の構成情報と現在の情報を比較することも可能)

検出された情報は、同期化することで正常時の状態に戻すことが可能

トラブル発生時の調査

比較

サーバA(マスタ) サーバB(ホスト)

hostsファイルhostsファイル

サーバ間の差異は一目で分かる差異を簡単に修正可能


４. 事例


営業拠点ごとにシステムは分散

営業拠点

社内利用者

神戸名古屋福岡銀座川崎

新本社屋

浜松町

社内システム集約化・プライベートクラウド 2010年本社移転に伴い、社内システムを集約化全国160拠点からの利用 OS/アプリ設定変更、一括設定変更を実施

2011年クラウド運用開始に伴い、サーバ構築自動化を導入

サーバ（Windows,RHEL,Solaris)

ストレージ

Windows Server 2003/2008 PRIMERGY実機貸出仮想ｼｽﾃﾑ貸出

【CIT統括部】運用管理者


RHEL ： Red Hat Enterprise Linux

導入事例 ICT企業A社様


自動化項目ＯＳプロビジョニング (Windows2008(x86), Windows2003 SP2, Red Hat Linux 5) ソフトウェア配付 (Symantec Antivirus Client10, Symantec Endpoint Security) パッチ管理 (Windowsサーバ: パッチ情報の分析、パッチダウンロード、パッチ配付) コンプライアンス (運用ルール一部を用い、Linux、Windowsの健全性を確認) その他機能検証 (アクセス制御・ソフトウェアライセンス情報の取得)

効果各項目において、一定の削減効果が認められた（初年度総工数の92％削減効果）作業の正確性向上並びに属人性を低減

- 誰でも、繰り返し、容易にソフトウェア及びOSの構築作業が可能- 作業ミスを削減することにより、余分な作業を削減、運用リスクの低減

現行作業 BladeLogic

初年度総工数

OSプロビジョニングソフトウェア配付コンプライアンス工数その他

92%改善

導入事例 ICT企業A社様


お客様の利用シーン手間がかかっていたサーバ運用作業をBladeLogicで自動化アプリケーションの同時配付 LinuxやWindowsのパッチ適用サーバ間の設定比較・検証サーバからのログ採取

サーバの管理作業時間を85%削減

利用者の声BladeLogicが無ければ、とてもこの大量のタスクをこなせていない

もっと早く導入をして欲しかった数十台へのファイル配付がとにかく楽!アプリのインストール時間が減った！

導入効果

導入事例証券会社B社様


課題サーバ管理の作業工数が増大し、自動化が必要となった

自動化項目定期保守作業 (パッチ適用など) サーバへの資産セットアップ (配置、権限変更) ログ収集 JP1/AJSからの資産実行


変更インストール

資産セットアップ手順変更手順

Solaris

Zone1

ESX

Zone2

Windows RHEL

Solaris- 物理: 65サーバ- 仮想: 337サーバ

Windows- 物理: 42サーバ- 仮想: 37サーバ

RHEL- 物理: 26サーバ- 仮想: 42サーバ

ESX- 37サーバ

JP1/AJS

IAサーバ(Windows、Linux)、UNIX(Solaris)混在の586サーバを自動化

RHEL ： Red Hat Enterprise Linux

導入事例保険系企業C社様


５. 対応プラットフォーム


対応プラットフォーム (1/2)Operating System

(ハードウェア) バージョンエージェント管理サーバ

管理クライアントパッチ管理 OS配付脆弱性

対策 *1

AIX (pSeries) 6.1, 7.1, 7.2 ○ ○

CentOS (x86, x86_64) 5.x, 6.x ○ ○*2

7.x ○ ○ ○*2

Debian (x86_64) 7.x ○

8.x ○ ○*2

Ubuntu (x86, x86_64) 14.04,16.04.18.04 ○ ○

HP-UX (PA-RISC) 11.23, 11.31 ○ ○*2

HP-UX (IA64) 11.23, 11.31 ○ ○*2

SuSE Linux (x86) SLES 11.x ○ ○ ○

SuSE Linux (x86_64) SLES 11.x, 15.x ○ ○ ○

SLES 12.x ○ ○ ○ ○

Oracle Enterprise Linux (x86) 5.x, 6.x ○ ○ ○

Oracle Enterprise Linux (x86_64) 5.x, 6.x ○ ○ ○ ○

7.x ○ ○ ○

Red Hat Enterprise Linux (x86) 5.x, 6x ○ ○ ○ ○

Red Hat Enterprise Linux (x86_64)

5.x ○ ○ ○ ○

6.x, 7.x ○ ○ ○ ○ ○

*1) TrueSight Vulnerability Managementの管理サーバの適応OSは、 Red Hat Enterprise Linux 7のみとなります。*2) スクリプトーベースパッチ管理


対応プラットフォーム（2/2）Operating System

(ハードウェア) バージョンエージェント管理サーバ

管理クライアントパッチ管理 OS配付脆弱性

対策 *1

Oracle Solaris (sun4u) 10 ○ ○ ○

11 ○ ○*2 ○

Oracle Solaris (sun4v) 10 ○ ○ ○

11 ○ ○*2 ○

Windows (x86) 8 ○

10 ○

2008 ○ ○ ○ ○ ○ ○

Windows (x86_64) 8 ○

10 ○

2008 ○ ○ ○ ○ ○ ○

2008 R2 ○ ○ ○ ○ ○ ○

2012 ○ ○ ○ ○ ○ ○

2012 R2 ○ ○ ○ ○ ○ ○

2016 ○ ○ ○ ○ ○ ○

2019 ○ ○ ○ ○ ○ ○

*1) TrueSight Vulnerability Managementの管理サーバの適応OSは、 Red Hat Enterprise Linux 7のみとなります。*2) スクリプトーベースパッチ管理


仮想環境の対応プラットフォーム仮想環境バージョン

IBM VIO/LPARS *1 (64-bit) Power5, Power6, Power7

Microsoft Hyper-V 3.0 (x86_64) SCVMM 2012 SP1, SCVMM 2012 R2

Microsoft Hyper-V 4.0 (x86_64) SCVMM 2012 R2

Oracle Solaris Zones (x86, SPARC) 10u4

VMware ESXi *2 (x86_64) 5.0, 5.1, 5.5

VMware vCenter Server (x86_64) 5.0, 5.1, 5.5, 6.0, 6.5, 6.7

Citrix XenServer (x86_64) 5.5, 5.6, 6.0, 6.5

Red Hat Enterprise Linux KVM 5.4, 5.5, 6.0

RHEV Manager (64-bit) 3.0

*1) HMC 経由の接続となります。 Enterprise Editionのみ。*2) vCenter Server 経由の接続となります。※ 対応プラットフォームは、予告なく変更される場合があります。詳細は、当社へご連絡下さい。


パッチ管理対象OS・ソフトウェア管理対象詳細

OS Windows Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Linux Red Hat Enterprise Linux Oracle Enterprise Linux SuSE Linux

Solaris Oracle SolarisUNIX系 IBM AIX

HP-UX3rdパーティソフトウェア Windows JRE

JDK 7Zip Adobe Acrobat Adobe Air Adobe Flash Player Adobe Reader Adobe Shockwave AIMP Apache Tomcat Apple Application Support Apple iCloud Apple iTunes

Citrix Receiver Google Chrome Mozilla Firefox Mozilla Thunderbird Notepad++ OpenOffice PDFCreator RealPlayer等

その他のOS ※OSベンダーが提供しているパッケージのみ管理可能


運用自動化ソフトウェア TrueSight Server Automation ご紹介 ·...

Documents

Transcript of 運用自動化ソフトウェア TrueSight Server Automation ご紹介 ·...