Project

General

Profile

Sophos Enterprise Console エアギャップ環境の作成

エアギャップ環境とは

エアギャップ環境とは、SECを含めた環境がインターネットから隔離されており、
アップデートに必要なデータを手動で配置し、それを元に更新を配布する環境を
指します。

通常ではEnterprise Console(SEC)またはUpdate Manager(SUM)がインターネット上の
Sophosサーバからアップデート用のデータを取得し、インストーラおよび更新データ
として生成します。

エアギャップ環境では、この処理を「更新データ取得用の環境」と「実際のエンド
ポイント管理および更新データ配布用の環境」の2つに分けて実装します。

前提条件

更新データは「そのまま置き換えられる手動更新用のファイル」としてメーカが配布
しているわけではありません。データ取得用にSECをもう1台作成して、更新データを
生成するためのバイナリデータ(Warehouse)を取得する必要があります。

  • 構成
    • データ取得用のSEC
      • インターネットに接続し、Warehouseを取得する環境
      • エンドポイントは管理しないため、SUM以外は設定しません
      • エンドポイント向けのライセンスIDはこちらに登録します
    • 管理用のSEC
      • ネットワークから隔離され、エンドポイントとのみ通信出来る環境
      • エンドポイントを管理するため、ポリシー設定を行っています
      • 別途取得したWarehouseをローカルコピーするためライセンス登録を行いません

SEC自体はライセンス不要で構築可能です。また、Windows7などのPC向けOSにも導入
できますので急遽必要になった場合は、管理や配信等負荷のかかるタスクの少ない
データ取得用のSECを余剰リソースなどで構築することをお勧めします。

データ取得用のSECでの設定方法

  • 設定内容
    まず、最終的に運用側のSECで利用する想定の製品種別(対象OS製品)をデータ取得用
    のアップデートマネージャのサブスクリプション(推奨バージョンなど)に登録します。
    エンドポイント向けインストーラが作成されるところまでを確認します。
    • 補足
      チェックされた製品種別(対象OS製品)とプルダウンメニュー(Recommendedなど)が網羅
      されていれば大丈夫です。サブスクリプション数や名称まで同一にする必要はありません。
      たとえば、プルダウンで一つしか設定出来ないWindows用製品バージョンを「Preview」
      「Recommended」両方取得したい場合などにサブスクリプションを複数作成します。
  • コピー対象について
    データ取得用のSEC作成された下記のフォルダが管理環境のSECにコピーする対象です。
    これをリムーバブルメディアなどに保存しておきます。
    C:¥ProgramData¥Sophos¥Update Manager¥Update Manager¥Warehouse
    

管理用のSECでの設定方法、およびデータの転送

  • ローカル更新用の共有フォルダの作成
    管理環境のSECのサーバにWindows共有フォルダを作成します。
    例:C:¥ProgramData¥Sophos¥LocalUpdate
    
    共有名称は仮にLocalUpdateとします。
    
  • 更新データの配置
    前項でリムーバブルメディア等に保存したWarehouseを作成した共有フォルダにコピーします。
    例:C:¥ProgramData¥Sophos¥LocalUpdate¥Warehouse
    
    zip圧縮などを行い展開した際に「Warehouse¥Warehouse」などフォルダが
    二重作成されている場合がありますので、フォルダ階層に注意してください。
    
  • アップデートマネージャの設定
    アップデートマネージャの「アップデート元」を設定します。インターネット上のSophosサーバ
    からの取得ではないので、確認ダイアログが表示されますが無視してかまいません。
    ¥¥localhost¥LocalUpdate
    
  • 更新の実行
    アップデートマネージャで「今すぐアップデート」を実施出来ることを確認します。
    • この処理は通常60分間隔で自動的に実行されています。Warehouseのコピーの途中で自動実行
      されてしまった場合、一時的にエラーが報告されることがあります。次回実行が正常に完了すれば
      警告はクリアされます。

次回以降の更新作業

  • 実施する作業
    • 更新取得のSECのWarehouseフォルダのコピー
    • 管理用のSECのLocalUpdate内のWarehouseフォルダを差し替え
    • 管理用のSECでのアップデートマネージャの「今すぐアップデート」処理を実行
  • 更新間隔の目安
    Sophosは随時定義ファイルを配信しておりますが、月1回随時配信ファイルをマージするために
    メンテナンスバージョンアップを伴う更新を行っています。手動更新するタイミングはこれらを
    考慮してスケジュールしてください。(メーカでは毎日更新するように推奨しています)