運用自動化ソフトウェア TrueSight Server Automation ご紹介 ·...
Transcript of 運用自動化ソフトウェア TrueSight Server Automation ご紹介 ·...
2019年11月富士通株式会社
運用自動化ソフトウェアTrueSight Server AutomationTrueSight Vulnerability Managementご紹介
Copyright 2019 FUJITSU LIMITED0
1. 製品概要・TrueSight Server Automation・TrueSight Vulnerability Management
2. TrueSight 製品の機能3. 利用シーン4. 事例5. 対応プラットフォーム
目次
Copyright 2019 FUJITSU LIMITED1
TrueSight Server Automation TrueSight Vulnerability Management
1. 製品概要
Copyright 2019 FUJITSU LIMITED2
Copyright 2019 FUJITSU LIMITED
サーバ運用・保守の自動化を強力に支援するソフトウェア
データセンター運用企業が作り上げたサーバ自動化製品
インフラ・OS
ミドルウェア
アプリケーション
33
■製品背景2001年 BladeLogic社により開発・販売が開始されました。BladeLogic社の創業メンバーは世界複数拠点のデータセンターを運営してきており、この経験・ノウハウを生かしBladeLogic(現在のTrueSight Server Automation)が開発されました。
■製品説明TrueSight Server Automationは、オンプレミスやクラウドで稼働しているサーバにおいて脆弱性管理、パッチ適用、コンプライアンス管理、構成変更、ソフトウェア配備、プロビジョニングを自動化する管理プラットフォームを提供します。これにより、サーバライフサイクル全体の作業工数の大幅な削減・自動化によるミスオペレーションの撲滅、また組織においてはルーティンワークに取られていた作業時間を短縮し、組織の最適化を実現します
OSからミドルウェア、アプリケーションまで幅広く自動化に対応
TrueSight Server Automationとは
3
TrueSight Vulnerability Managementとは
対処
脆弱性の影響や対処状況、適用すべきパッチを自動表示
脆弱性を診断し、診断データを出力
画面から簡単な操作でパッチ適用
読込み 対処
脆弱性診断ツール
分析・可視化脆弱性診断 対処
TrueSight Vulnerability ManagementTrueSight Server Automation(*)
(*)パッチの適用まで自動化するためには、TrueSight Server Automationが必要です。
TrueSight Vulnerability Management
QualysTenable Rapid7
脆弱性診断ツールと連携し、サーバの脆弱性対策を効率化するソフトウェア
Copyright 2019 FUJITSU LIMITED4
運用コスト削減と作業ミス撲滅 脆弱性診断ツールと連携し、脆弱性を分析・可視化、対処 サーバのOS/ミドルウェア/アプリケーションのインストール・設定にかかる手間と時間を短縮 ソフトウェア構成情報の収集やパッチ適用にかかる保守工数を低減 システムのセキュリティポリシーの自動適用で安全なシステム環境を維持
5
55
TrueSight 製品の特長
TrueSight Server Automation SuiteTrueSight
Server AutomationConfiguration
TrueSightVulnerability Management
コンフィグレーション
• インベントリ(設定ファイル、サービスなどの記録・修正)
• パッケージ(MW等)• パッチ管理(分析・適用)• 構成比較(スナップショットやマスタサーバと比較)
脆弱性対策
• 脆弱性診断ツールとの連携• 脆弱性の分析・可視化• TrueSight Server Automationへ脆弱性パッチ適用を指示
プロビジョニング
• サーバへの新規/再インストール• 仮想マシンへの新規/再インストール
• サーバ固有値を設定• 複数のOSを統一的な操作でインストール
コンプライアンス
• ルールベースでのコンプライアンスチェック
• 違反項目を自動修正• GUIによる簡単なルール作成
• CIS、PCI DSSなどの豊富なテンプレート
※TrueSight Vulnerability Managementは、TrueSight Server Automation Suiteのオプション製品です。
マルチベンダー・マルチプラットフォーム環境のセキュリティ維持とサーバ運用を自動化
Copyright 2019 FUJITSU LIMITED5
システム/機能構成図
TrueSightServer Automation
管理サーバ
TrueSightServer Automation
管理クライアント
TrueSight Server Automation設定画面
TrueSight Vulnerability Management脆弱性確認画面
TrueSightServer Automationアプリケーションサーバ
ファイルサーバ
データベースサーバ
PXE/TFTP/データストアサーバ
TrueSight Server Automation管理対象サーバ
TrueSightVulnerability Management
管理サーバ
Copyright 2019 FUJITSU LIMITED
HP-UX/AIXサーバSPARC Servers/SPARC Enterprise
PRIMERGYラックサーバ
PRIMERGYタワー型サーバ 他社製PCサーバ
VMゲスト
VMホスト
TrueSightVulnerability Management管理対象サーバ
6
2. TrueSight 製品の機能
TSVM
TSSA TrueSight Server Automation
TrueSight Vulnerability Management
Copyright 2019 FUJITSU LIMITED7
脆弱性の分析・可視化と対処 脆弱性の影響や対処状況を把握・管理し、セキュリティパッチを効率的に適用
脆弱性を重要度、経過日数などグラフィカルに表示し、脆弱性の影響からパッチの適用計画の立案を支援。
検出された脆弱性の数、適用すべきパッチや対処状況を表示し、管理工数を削減。
自動作成のパッチ適用ジョブを実行することで、作業ミスなく複数サーバにパッチを適用し、確実にサーバから脆弱性を保護。
脆弱性の把握 脆弱性の管理 対処
脆弱性対策
TSVM TSSA
Copyright 2019 FUJITSU LIMITED8
構成比較
2つのオブジェクト(ファイル、レジストリ、パッケージ、パッチなど)を比較して、同じ(一貫性がある)か、そうではないかを検出
セキュリティの維持やコンプライアンス目的で利用されます。例) 各企業で持っているサーバセキュリティガイドラインとの比較など
サーバ間の差異を見つけるために使用されます。例) 同じ内容の定義値であるべき値が変更されていないかのチェック
以前に取得したスナップショットと現在のライブ情報との比較例) 問題が発生した際に、正しく動作していた時の構成情報との比較
比較した結果、比較元との差分解消 「マスタとの同期化」を行うことができます。
コンフィグレーション
TSSA
Copyright 2019 FUJITSU LIMITED9
パッチ分析・適用 最新のOSパッチ情報を各OSベンダーから自動ダウンロードし、各サーバで
パッチ分析により未適用パッチを抽出 状況に応じ、即時適用やスケジュール適用など柔軟なパッチ配付に対応
OSパッチ情報とパッチのカタログ。パッチカタログを更新することでパッチデータが更新される。
ルール設定により、パッチを自動的に分類。緊急のセキュリティパッチのみ適用などに使用可能。
分析結果から、全て適用/選択適用/ダウンロードのみなどの操作が可能。
-パッチカタログ- -パッチスマートグループ- -パッチ分析・適用-
コンフィグレーション
TSSA
Copyright 2019 FUJITSU LIMITED10
アカウント管理
複数プラットフォームの多数のサーバのアカウントを管理 パスワードの定期的な変更などの面倒な処理を自動で実施
11
• GUIでアカウント情報を取り込み、修正することができます。• NSHスクリプトを使用することで、対象をOSを意識することなく、パスワードを変更できます。Windows
UNIX
NSHスクリプト
コンフィグレーション
TSSA
Copyright 2019 FUJITSU LIMITED11
コンプライアンスチェック
GUIで任意のルールを簡単に作成でき、サーバ構成(セキュリティ) を容易にチェック 自動是正の機能を用いることにより常に正しい構成を維持
12
豊富なルールテンプレートを提供します。• 提供テンプレート一例
SOX法対応テンプレート ⇒米)SOX法に対応して作成されたサーバ構成ルール■ CISテンプレート ⇒米)Center for Internet Securityが作成したサーバ構成ルール■ PCI DSS ⇒米)PCIが規定するサーバセキュリティルール■ その他:HIPPA, NIST等
これらのテンプレートをベースに追加・削除・編集し、必要なルール群を作成することも可能です。※これらのテンプレートは米国BMC Software社において法律の専門家のチェックを受けています。
コンプライアンス
TSSA
Copyright 2019 FUJITSU LIMITED12
サーバ構築の自動化 仮想サーバ配備から配備後のセットアップ作業を一気通貫で実現することで、
作業ミスや手番を削減 VMテンプレート数を最適化することによりメンテナンス工数を削減
TrueSight Server Automation
管理ツール(VMware vCenter, SCVMM等)
Windows
ソフトウェアA
ハイパーバイザー(ESXi,Hyper-V等)
仮想サーバ 仮想サーバ仮想サーバ
Linux
VMテンプレート
① 仮想サーバ配備
② 仮想サーバ配備後のセットアップソフトウェア/アプリケーションインストールOS/ソフトウェアの設定変更、パッチの適用など
サーバ構築に関わる作業全体を自動化
ソフトウェアB ソフトウェアC
Windows
業務アプリA 業務アプリC
業務アプリB 業務アプリD
業務アプリE
業務アプリF
Windows Linux
設定手順
ソフトウェア 業務アプリ
管理者
パッチ適用 設定変更
業務アプリ業務アプリソフトウェアソフトウェア
設定手順設定手順
プロビジョニング
TSSA
Copyright 2019 FUJITSU LIMITED13
3. 利用シーン
Copyright 2019 FUJITSU LIMITED14
利用シーン
③ 運用の自動化・運用手順をジョブで自動化・テスト機と本番機で同じジョブを実行
④トラブル発生時の調査・サーバ間の構成の差異を表示・修正・正常時の構成との差異を表示・修正
② コンプライアンス維持・業界標準ルールでサーバを監査・違反サーバを自動的に是正
➀ セキュリティパッチ適用・パッチ入手~適用までのプロセスを自動化・OSの種類に依らず統一操作でパッチ適用可
Copyright 2019 FUJITSU LIMITED15
セキュリティパッチ適用パッチ適用の自動化によって手間と時間を削減しサーバを確実に脆弱性から保護
ダウンロード必要なパッチを定期的ベンダーからダウンロード
パッチ選別ルールに基づいて
セキュリティパッチを選別
適用複数サーバへパッチを一括適用
検証検証手順の自動化、結果の自動保存
検証環境 本番環境
機能追加
障害修正
セキュリティパッチ
管理サーバ 管理サーバ
手順
Copyright 2019 FUJITSU LIMITED16
コンプライアンス維持
17
世界標準のセキュリティポリシーでサーバのコンプライアンス管理を支援サーバの設定確認から違反設定の是正までのプロセスを自動化
・チェック結果をhtmlで出力・遵守状況をダッシュボードで表示
標準チェックリストを基にOSの設定などをチェックサーバの設定を確認
コンプライアンス遵守状況の可視化
管理サーバ
違反設定を修正※例:システム暗号化、Guestアカウント削除、ユーザパスワードの長さの設定等
あるべき姿へ是正 オンプレミス
クラウド
Copyright 2019 FUJITSU LIMITED17
運用手順の自動化ジョブをGUIで簡単に作成・実行 ジョブを複数サーバに配付・実行しミスや手間を削減 事前にテスト機でジョブを検証するので本番機に安心して実施可
手順書
手順が多くミスや実行漏れ発生
ジョブ
テスト機
ジョブ
本番機
人手の場合 TrueSight Server Automationの場合
運用の自動化
Copyright 2019 FUJITSU LIMITED18
サーバの構成情報(ファイル、パッチ、設定など)を詳細レベルで収集可能 正常なサーバの構成情報とトラブルが発生したサーバの構成情報を比較する
ことで構成情報の違いが原因のトラブルを検出可能(過去の正常時の構成情報と現在の情報を比較することも可能)
検出された情報は、同期化することで正常時の状態に戻すことが可能
トラブル発生時の調査
比較
サーバA(マスタ) サーバB(ホスト)
hostsファイルhostsファイル
サーバ間の差異は一目で分かる 差異を簡単に修正可能
Copyright 2019 FUJITSU LIMITED19
4. 事例
Copyright 2019 FUJITSU LIMITED20
営業拠点ごとにシステムは分散
営業拠点
社内利用者
神戸 名古屋 福岡 銀座 川崎
新本社屋
浜松町
社内システム集約化・プライベートクラウド 2010年本社移転に伴い、社内システムを集約化 全国160拠点からの利用 OS/アプリ設定変更、一括設定変更を実施
2011年クラウド運用開始に伴い、サーバ構築自動化を導入
サーバ(Windows,RHEL,Solaris)
ストレージ
Windows Server 2003/2008 PRIMERGY実機貸出仮想システム貸出
【CIT統括部】運用管理者
TrueSight Server Automation
RHEL : Red Hat Enterprise Linux
導入事例 ICT企業A社様
Copyright 2019 FUJITSU LIMITED21
自動化項目 OSプロビジョニング (Windows2008(x86), Windows2003 SP2, Red Hat Linux 5) ソフトウェア配付 (Symantec Antivirus Client10, Symantec Endpoint Security) パッチ管理 (Windowsサーバ: パッチ情報の分析、パッチダウンロード、パッチ配付) コンプライアンス (運用ルール一部を用い、Linux、Windowsの健全性を確認) その他機能検証 (アクセス制御・ソフトウェアライセンス情報の取得)
効果 各項目において、一定の削減効果が認められた (初年度総工数の92%削減効果) 作業の正確性向上並びに属人性を低減
- 誰でも、繰り返し、容易にソフトウェア及びOSの構築作業が可能- 作業ミスを削減することにより、余分な作業を削減、運用リスクの低減
現行作業 BladeLogic
初年度総工数
OSプロビジョニング ソフトウェア配付 コンプライアンス工数 その他
92%改善
導入事例 ICT企業A社様
Copyright 2019 FUJITSU LIMITED22
お客様の利用シーン手間がかかっていたサーバ運用作業をBladeLogicで自動化 アプリケーションの同時配付 LinuxやWindowsのパッチ適用 サーバ間の設定比較・検証 サーバからのログ採取
サーバの管理作業時間を85%削減
利用者の声BladeLogicが無ければ、とてもこの大量のタスクをこなせていない
もっと早く導入をして欲しかった数十台へのファイル配付がとにかく楽!アプリのインストール時間が減った!
導入効果
導入事例 証券会社B社様
Copyright 2019 FUJITSU LIMITED23
課題サーバ管理の作業工数が増大し、自動化が必要となった
自動化項目 定期保守作業 (パッチ適用など) サーバへの資産セットアップ (配置、権限変更) ログ収集 JP1/AJSからの資産実行
TrueSight Server Automation
変更インストール
資産セットアップ手順 変更手順
Solaris
Zone1
ESX
Zone2
Windows RHEL
Solaris- 物理: 65サーバ- 仮想: 337サーバ
Windows- 物理: 42サーバ- 仮想: 37サーバ
RHEL- 物理: 26サーバ- 仮想: 42サーバ
ESX- 37サーバ
JP1/AJS
IAサーバ(Windows、Linux)、UNIX(Solaris)混在の586サーバを自動化
RHEL : Red Hat Enterprise Linux
導入事例 保険系企業C社様
Copyright 2019 FUJITSU LIMITED24
5. 対応プラットフォーム
Copyright 2019 FUJITSU LIMITED25
対応プラットフォーム (1/2)Operating System
(ハードウェア) バージョン エージェント 管理サーバ
管理クライアント パッチ管理 OS配付 脆弱性
対策 *1
AIX (pSeries) 6.1, 7.1, 7.2 ○ ○
CentOS (x86, x86_64) 5.x, 6.x ○ ○*2
7.x ○ ○ ○*2
Debian (x86_64) 7.x ○
8.x ○ ○*2
Ubuntu (x86, x86_64) 14.04,16.04.18.04 ○ ○
HP-UX (PA-RISC) 11.23, 11.31 ○ ○*2
HP-UX (IA64) 11.23, 11.31 ○ ○*2
SuSE Linux (x86) SLES 11.x ○ ○ ○
SuSE Linux (x86_64) SLES 11.x, 15.x ○ ○ ○
SLES 12.x ○ ○ ○ ○
Oracle Enterprise Linux (x86) 5.x, 6.x ○ ○ ○
Oracle Enterprise Linux (x86_64) 5.x, 6.x ○ ○ ○ ○
7.x ○ ○ ○
Red Hat Enterprise Linux (x86) 5.x, 6x ○ ○ ○ ○
Red Hat Enterprise Linux (x86_64)
5.x ○ ○ ○ ○
6.x, 7.x ○ ○ ○ ○ ○
*1) TrueSight Vulnerability Managementの管理サーバの適応OSは、 Red Hat Enterprise Linux 7のみとなります。*2) スクリプトーベースパッチ管理
Copyright 2019 FUJITSU LIMITED26
対応プラットフォーム(2/2)Operating System
(ハードウェア) バージョン エージェント 管理サーバ
管理クライアント パッチ管理 OS配付 脆弱性
対策 *1
Oracle Solaris (sun4u) 10 ○ ○ ○
11 ○ ○*2 ○
Oracle Solaris (sun4v) 10 ○ ○ ○
11 ○ ○*2 ○
Windows (x86) 8 ○
10 ○
2008 ○ ○ ○ ○ ○ ○
Windows (x86_64) 8 ○
10 ○
2008 ○ ○ ○ ○ ○ ○
2008 R2 ○ ○ ○ ○ ○ ○
2012 ○ ○ ○ ○ ○ ○
2012 R2 ○ ○ ○ ○ ○ ○
2016 ○ ○ ○ ○ ○ ○
2019 ○ ○ ○ ○ ○ ○
*1) TrueSight Vulnerability Managementの管理サーバの適応OSは、 Red Hat Enterprise Linux 7のみとなります。*2) スクリプトーベースパッチ管理
Copyright 2019 FUJITSU LIMITED27
仮想環境の対応プラットフォーム仮想環境 バージョン
IBM VIO/LPARS *1 (64-bit) Power5, Power6, Power7
Microsoft Hyper-V 3.0 (x86_64) SCVMM 2012 SP1, SCVMM 2012 R2
Microsoft Hyper-V 4.0 (x86_64) SCVMM 2012 R2
Oracle Solaris Zones (x86, SPARC) 10u4
VMware ESXi *2 (x86_64) 5.0, 5.1, 5.5
VMware vCenter Server (x86_64) 5.0, 5.1, 5.5, 6.0, 6.5, 6.7
Citrix XenServer (x86_64) 5.5, 5.6, 6.0, 6.5
Red Hat Enterprise Linux KVM 5.4, 5.5, 6.0
RHEV Manager (64-bit) 3.0
*1) HMC 経由の接続となります。 Enterprise Editionのみ。*2) vCenter Server 経由の接続となります。※ 対応プラットフォームは、予告なく変更される場合があります。詳細は、当社へご連絡下さい。
Copyright 2019 FUJITSU LIMITED28
パッチ管理対象OS・ソフトウェア管理対象 詳細
OS Windows Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019
Linux Red Hat Enterprise Linux Oracle Enterprise Linux SuSE Linux
Solaris Oracle SolarisUNIX系 IBM AIX
HP-UX3rdパーティソフトウェア Windows JRE
JDK 7Zip Adobe Acrobat Adobe Air Adobe Flash Player Adobe Reader Adobe Shockwave AIMP Apache Tomcat Apple Application Support Apple iCloud Apple iTunes
Citrix Receiver Google Chrome Mozilla Firefox Mozilla Thunderbird Notepad++ OpenOffice PDFCreator RealPlayer等
その他のOS ※OSベンダーが提供しているパッケージのみ管理可能
Copyright 2019 FUJITSU LIMITED29
Copyright 2019 FUJITSU LIMITED