ESET Cloud Workload Protection – Microsoft Azure, Amazon Web Services, hlavní funkce Google Cloud Platform
•Umožňuje viditelnost a ochranu cloudových úloh díky synchronizaci virtuálních zařízení uspořádaných do skupin prostředků.
•Umožňuje nasazení bezpečnostní ochrany do úloh, a to buď ručně, nebo automaticky pro nově vytvořené instance.
•Poskytuje indikátory zabezpečení na úrovni koncových zařízení z chráněných úloh a rozšiřuje přehled o hrozbách napříč cloudovými prostředími.
•Poskytuje rozšířený kontext objektů v sekci Incidenty a podporuje reakce na chráněných zařízeních.
•Načítá více cloudových indikátorů a telemetrie, čímž rozšiřuje přehled o aktivitách v cloudovém prostředí.
Jak povolit integraci
Předpoklady
Před zahájením nasazení šablony CloudFormation zkontrolujte a dokončete všechny požadavky, které se vztahují na zvolenou cestu.
Tyto požadavky platí bez ohledu na to, kterou šablonu vyberete.
Účet se nachází ve standardním oddílu AWS
Podporovány jsou pouze organizace AWS a účty ve standardním komerčním oddílu AWS. Účty v jiných oddílech (například AWS GovCloud neboAWS Čína) nejsou podporovány.
Oprávnění účtu AWS
Hlavní IAM entita (uživatel nebo role) v AWS, kterou používáte k nasazení stacku CloudFormation, musí mít dostatečná oprávnění k vytvoření všech prostředků, které šablona vytváří.
Požadovaný rozsah oprávnění: AdministratorAccess nebo vlastní politika, která umožňuje vytvářet:
•IAM role a spravované politiky
•S3 bucketů a politiky bucketů
•CloudTrail traily
•Lambda funkce (volané jako vlastní prostředky CloudFormation)
•CloudFormation stacky a StackSets
Pokud si nejste jisti, zda jsou vaše přihlašovací údaje dostatečné, ověřte si to u svého administrátora AWS, než budete pokračovat.
Nasazujte stack pouze jednou na jeden účet/organizaci
Každá šablona vytváří prostředky s pevně danými názvy (například CwppServiceRole). Nasazení druhého stacku ve stejném účtu selže s chybou „prostředek již existuje“. Pokud předchozí nasazení selhalo nebo je třeba jej provést znovu, smažte nejprve stávající CloudFormation stack.
Region AWS s podporou CloudTrail
Nastavte stack v regionu AWS, který podporuje víceregionální CloudTrail záznamy. Podporovány jsou všechny standardní komerční regiony AWS. GovCloud a regiony v Číně nejsou podporovány.
|
|
Instance EC2 musí mít nainstalovaný a spuštěný agent SSM (je předinstalovaný na většině AMI od AWS) na každé instanci, kde plánujete nasadit bezpečnostní aplikaci ESET. DHMC umožňuje automatickou správu, ale neinstaluje agenta SSM. Tento požadavek lze zapnout i dodatečně a není nutný před onboardingem.
|
|
Tyto dodatečné požadavky platí při použití jakékoli šablony pro organizace.
Nasazení z účtu pro správu
Šablony pro organizace je nutné nasadit po přihlášení do účtu AWS pro správu organizací. Pro toto nasazení nelze použít členský účet.
Vyhledejte ID kořenové organizační jednotky
Během nasazení budete vyzváni k zadání ID kořenové organizační jednotky, které se používá k nasazení StackSets na všechny účty. Jak najít toto ID:
1.Otevřete konzoli AWS pro organizace.
2.Klikněte na položku Root v horní části organizačního stromu.
3.Zkopírujte ID ve formátu r-xxxx.
Podrobné pokyny najdete v dokumentaci AWS v části věnované orientaci v hierarchii vaší organizace.
Oprávnění k aktivaci důvěryhodného přístupu Organizations pro CloudFormation
Šablona automaticky aktivuje důvěryhodný přístup mezi službami CloudFormation a AWS Organizations (prostřednictvím vlastního prostředku Lambda). Entita, která provádí nasazení, musí mít oprávnění k volání akce cloudformation:ActivateOrganizationsAccess. To je součástí oprávnění AdministratorAccess. Pokud používáte sadu oprávnění s omezeným rozsahem, ujistěte se, že je tato akce výslovně povolena.
|
Tyto dodatečné požadavky platí při použití kterékoliv varianty šablony DHMC.
Bez konfliktní výchozí konfigurace správy hostitelů (DHMC)
Pokud jste dříve použili AWS SSM Quick Setup ke konfiguraci DHMC, byť jen částečně, nemůžete použít onboarding organizace s nastavením DHMC. Tyto dvě konfigurace budou v konfliktu. V tom případě:
1.Použijte onboarding organizace bez DHMC.
2.Ve stávající konfiguraci SSM Quick Setup se ujistěte, že je služba DHMC aktivní ve všech členských účtech a ve všech regionech, kde bude probíhat nasazení CWP.
Oprávnění pro rychlé nastavení SSM
Kromě základních oprávnění pro organizaci potřebuje entita provádějící nasazení:
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•Oprávnění k vytváření rolí vázaných na služby
Všechna jsou obsažena v oprávnění AdministratorAccess. Šablona vytvoří Lambda, která tyto kroky provede automaticky, nemusíte ručně spouštět žádné příkazy.
|
Aktivace ochrany virtuálních zařízení (instance EC2) v CWP pro instance AWS EC2 zahrnuje dvě úrovně požadavků. Instance EC2 musí být nejprve zaregistrována jako instance spravovaná službou SSM (nastavení na úrovni účtu) a poté musí každá jednotlivá instance splňovat požadavky na úrovni virtuálního zařízení, než na ni bude možné nainstalovat aplikaci. Ostatní funkce CWP fungují i u účtů, které tyto předpoklady nesplňují.
Předpoklady projektu
Tyto požadavky platí na úrovni účtu AWS. CWP je automaticky nakonfiguruje během onboardingu, pokud je použita varianta šablony DHMC. U účtů, u nichž nebyla služba DHMC nastavena během onboardingu (nebo dříve), je nutné tyto kroky provést ručně, než bude možné aktivovat ochranu virtuálních zařízení.
•Instance EC2 musí být spravována službou SSM
CWP nasazuje bezpečnostní aplikaci ESET prostřednictvím AWS Systems Manager (SSM). Aby služba SSM mohla komunikovat s instancí EC2, musí být tato instance zaregistrována jako instance spravovaná SSM. Doporučeným způsobem, jak toho dosáhnout u všech instancí v rámci jednoho účtu, je zapnutí funkce Default Host Management Configuration (DHMC), která automaticky zaregistruje všechny instance EC2 v účtu a regionu, aniž by u každé instance vyžadovala vyhrazený profil instance IAM.
DHMC lze zapnout pro jednotlivé regiony v konzoli AWS v části Systems Manager > Fleet Manager > Account management, nebo pro celou organizaci prostřednictvím SSM Quick Setup. Podrobnosti najdete v dokumentaci k DHMC v AWS.
Požadavky na virtuální zařízení
Tyto požadavky platí pro každou jednotlivou instanci EC2. Jakmile je nastavení na úrovni účtu hotové, lze aplikaci ochrany nasadit do instance pouze v případě, že splňuje všechny následující podmínky.
• Instance EC2 musí mít přístup k internetu
Všechny instance EC2 určené k nasazení ochrany musí mít přístup k internetu. U instancí v soukromých podsítích bez brány NAT musí být před nasazením ochrany nakonfigurován odchozí přístup k internetu.
•SSM Agent musí být nainstalován a spuštěn
AWS SSM komunikuje s instancemi EC2 prostřednictvím SSM Agenta. Většina obrazů AMI poskytovaných službou AWS(Amazon Linux, Ubuntu Server, Windows Server) obsahuje předinstalovaného SSM Agenta. U vlastních AMI nebo AMI třetích stran zkontrolujte, zda je agent nainstalován a spuštěn.
Pokyny k instalaci a informace o tom, jak zkontrolovat stav agenta na spuštěné instanci, najdete v dokumentaci k agentovi SSM AWS.
Aby bylo možné funkčně nasadit ochranu instancí EC2 pro Linux v AWS, musí mít chráněný účet nebo organizace povolenou službu AWS System Manager a na instancích EC2 musí být nainstalován SSM Agent.
•Na virtuálním zařízení musí běžet podporovaný operační systém
CWP může nasadit bezpečnostní aplikaci ESET na instancích s podporovanou distribucí operačního systému. Úplný seznam podporovaných distribucí operačních systémů najdete v odkazu níže.
•VM musí splňovat systémové požadavky bezpečnostní aplikace
Každé virtuální zařízení, na kterém má být nasazena ochrana, musí splňovat minimální hardwarové a softwarové požadavky pro nasazení bezpečnostní aplikace ESET.
Windows Server
oProcesor: Jednojádrový procesor Intel nebo AMD s architekturou x64
oPaměť: 256 MB volné paměti RAM
oPevný disk: 700 MB volného místa na disku
Linux
oProcesor: Intel/AMD x64 se 2 jádry (vCPU)
oPaměť: 2 GB paměti RAM
oPevný disk: 700 MB volného místa na disku
oGlibc 2.28 nebo novější
oLinuxové jádro verze 4.18 nebo novější
oJakékoli národní prostředí s kódováním UTF-8
oSecure Boot musí být vypnutý |
Nastavení integrace ve webové konzoli ESET PROTECT
Klikněte na Připojit a projděte procesem připojení integrace:
1.Obecné nastavení – zadejte název a vyberte metodu: AWS Organizace (s ID kořenové organizační jednotky) nebo samostatný účet AWS (s ID účtu), zadejte Popis klienta a klikněte na tlačítko Pokračovat.
2.Správa hostitelů – vyberte, zda je ve vašem účtu AWS zapnuta výchozí konfigurace správy hostitelů (DHMC).
3.CloudFormation – vytvořte zásobník v aplikaci AWS (klikněte na tlačítko Spustit v AWS a zkontrolujte stav zásobníku nebo dokončete nastavení) a poté vyberte možnost Potvrdit stav.
4.Shrnutí integrace – zkontrolujte shrnutí integrace se svým nastavením (Název, Metoda, ID účtu, ESET CWP S3 Bucket, Popis klienta) a klikněte na Dokončit.
|
|
Po dokončení integrace (Stav: Aktivní) můžete vidět virtuální zařízení synchronizovaná v integraci v sekci Počítače > Strom společností > vybraná organizace (statická skupina).
|
Nasazení
Podporované systémové požadavky a operační systémy
Bezpečnostní aplikaci ESET můžete nasadit na virtuální zařízení, která splňují systémové požadavky pro instalaci bezpečnostní aplikace ESET:
•ESET Server Security for Windows (virtuální zařízení s Windows)
•ESET Server Security for Linux (virtuální zařízení s Linuxem)
Automatické nasazení
Ve výchozím nastavení je automatické nasazení vypnuté. V sekci Konfigurace můžete definovat, jak se ESET Cloud Workload Protection bude chovat na virtuálních zařízeních integrovaných z připojených cloudových prostředí.
Je-li tato funkce nastavena, každých 15 minut se kontroluje, zda se v dané skupině (cíli) nachází vhodné virtuální zařízení, na kterém lze spustit nasazení. Pokud ano, bude během několika minut na virtuálním zařízení nainstalován ESET Management agent a následně bezpečnostní aplikace.
Audit log obsahuje informace o spuštění nasazení.
Manuální nasazení
Vyberte počítače, na kterých chcete aktivovat bezpečnostní aplikaci ESET. Předplatné bude přiřazeno automaticky.
1.Přejděte do sekce Počítače > vyberte Společnost (statická skupina) > seznam virtuálních zařízení.
2.Vyberte virtuální zařízení > klikněte na tlačítko se třemi tečkami 
> vyberte Moduly platformy > klikněte na Zapnout bezpečnostní aplikaci ESET pro cloud.
3.Vyberte cíle.
4.Vyjádřete souhlas s Právními dokumenty a klikněte na Zapnout.
