ESET Cloud Workload Protection—Microsoft Azure, Amazon Web Services, Google Cloud Platform Hauptmerkmale
•Ermöglicht die Transparenz und den Schutz von Cloud-Workloads durch die Synchronisierung von virtuellen Maschinen, die in Ressourcengruppen organisiert sind.
•Aktiviert die manuelle oder automatische Bereitstellung von Sicherheitsmaßnahmen für Workloads bei neu erstellten Instanzen.
•Liefert Sicherheitsindikatoren auf Endpoint-Ebene aus geschützten Workloads und erweitert so den Überblick über Bedrohungen in Cloud-Umgebungen.
•Bietet erweiterte Informationen zum Asset-Kontext in Incidents und unterstützt Reaktionsmaßnahmen auf geschützten Rechnern.
•Erfasst mehr Cloud-Indikatoren und Telemetriedaten und erweitert so den Einblick in die Aktivitäten der Cloud-Umgebung.
Integration aktivieren
Voraussetzungen
Überprüfen und erfüllen Sie alle Voraussetzungen, die für den von Ihnen gewählten Pfad gelten, bevor Sie mit der CloudFormation-Vorlagenbereitstellung beginnen.
Diese Anforderungen gelten unabhängig davon, welche Vorlage Sie auswählen.
Das Konto befindet sich in der AWS-Standardpartition.
Es werden ausschließlich AWS-Organisationen und-Konten in der standardmäßigen AWSkommerziellen Partition unterstützt. Konten in anderen Partitionen (wie z. B. AWS GovCloud oder AWS China) werden nicht unterstützt.
AWS-Kontoberechtigungen
Der AWS IAM-Prinzipal (Benutzer oder Rolle), den Sie zur Bereitstellung des CloudFormation-Stacks bereitstellen, muss über ausreichende Berechtigungen verfügen, um alle Ressourcen zu erstellen, die die Vorlage bereitstellt.
Erforderliche Berechtigungen: AdministratorAccess oder eine benutzerdefinierte Richtlinie zur Ermöglichung des Erstellens von:
•IAM-Rollen und verwalteten Richtlinien
•S3-Buckets und Bucket-Richtlinien
•CloudTrail-Trails
•Lambda-Funktionen (aufgerufen als benutzerdefinierte CloudFormation-Ressourcen)
•CloudFormation-Stacks und StackSets
Wenn Sie sich nicht sicher sind, ob Ihre Anmeldedaten ausreichen, wenden Sie sich bitte an Ihren AWS-Administrator, bevor Sie fortfahren.
Stellen Sie den Stack nur einmal pro Konto/Organisation bereit.
Jede Vorlage erstellt Ressourcen mit festen Namen (zum Beispiel „CwppServiceRole“). Die Bereitstellung eines zweiten Stacks im selben Konto schlägt mit der Fehlermeldung „Ressource existiert bereits“ fehl. Falls eine frühere Bereitstellung fehlgeschlagen ist oder wiederholt werden muss, löschen Sie zunächst den bestehenden CloudFormation-Stack.
AWS-Region mit CloudTrail-Unterstützung
Stellen Sie die Bereitstellung des Stacks in einer „ AWS-Region mit multiregionalen Trails durch CloudTrail-Trails bereit. Alle standardmäßigen kommerziellen AWS-Regionen sind zulässig. GovCloud-Regionen in China werden nicht unterstützt.
|
|
Auf allen EC2-Instanzen, auf denen Sie das ESET-Schutzprodukt bereitstellen möchten, muss der SSM‑Agent installiert sein und ausgeführt werden (er ist auf den meisten AWS-bereitgestellten AMIs vorinstalliert). DHMC ermöglicht die automatische Aktivierung, installiert jedoch nicht den SSM-Agenten. Die Aktivierung dieser Anforderung kann auch später erfolgen und ist vor dem Onboarding nicht zwingend erforderlich.
|
|
Diese zusätzlichen Anforderungen gelten bei der Verwendung beider Organisationsvorlagen.
Über das Verwaltungskonto bereitstellen
Organisationsvorlagen müssen bereitgestellt werden, während Sie bei Ihrem AWS-Verwaltungskonto für Organisationen angemeldet sind. Für diese Bereitstellung können Sie kein Mitgliedskonto verwenden.
Lokalisieren Sie Ihre ID der Stamm-Organisationseinheit
Während der Bereitstellung werden Sie nach der ID Ihrer Stamm-Organisationseinheit gefragt, die verwendet wird, um StackSets für alle Konten bereitzustellen. So finden Sie sie:
1.Öffnen Sie die AWS-Organisationen-Konsole.
2.Klicken Sie oben im Organisationsbaum auf den Eintrag Root.
3.Kopieren Sie die ID – sie hat das Format r-xxxx.
Ausführliche Anweisungen finden Sie in der AWS-Dokumentation zur Navigation der Hierarchien Ihrer Organisation.
Berechtigung zum Aktivieren des vertrauenswürdiger Zugriffs für CloudFormation-Organisationen
Die Vorlage aktiviert automatisch den vertrauenswürdigen Zugriff zwischen CloudFormation- und AWS-Organisationen (über eine benutzerdefinierte Lambda- Ressource). Der für die Bereitstellung zuständige Benutzer muss über die Berechtigung zum Aufrufen von ` cloudformation:ActivateOrganizationsAccess` verfügen. Dies ist in AdministratorAccess enthalten. Wenn Sie einen bereichsbezogenen Berechtigungssatz verwenden, stellen Sie sicher, dass diese Aktion ausdrücklich erlaubt ist.
|
Diese zusätzlichen Anforderungen gelten bei der Verwendung beider DHMC-Vorlagenvarianten.
Keine widersprüchliche Standardkonfiguration für die Hostverwaltung (DHMC)
Wenn Sie DHMC zuvor – auch nur teilweise – über die AWS SSM-Schnellkonfiguration konfiguriert haben, können Sie das organisationsweite Onboarding mit der DHMC-Konfiguration nicht nutzen. Die beiden Konfigurationen stehen im Widerspruch zueinander. In diesem Fall:
1.Nutzen Sie das Onboarding-Verfahren für Nicht-DHMC-Organisationen.
2.Stellen Sie in Ihrer bestehenden SSM-Schnellkonfiguration sicher, dass DHMC in allen Mitgliedskonten und allen Regionen aktiv ist, in denen die Bereitstellung von CWP erfolgt.
Berechtigungen für die SSM-Schnellkonfiguration
Zusätzlich zu den grundlegenden Organisationsberechtigungen benötigt der Prinzipal während der Bereitstellung:
•ssm-quicksetup:UpdateServiceSettings
•Organisationen:EnableAWSServiceAccess
•Berechtigung zum Erstellen von dienstbezogenen Rollen
All dies ist in AdministratorAccess enthalten. Die Vorlage erstellt ein Lambda, das diese Schritte automatisch ausführt; Sie müssen keine Befehle manuell ausführen.
|
Aktivierung des Schutzes für virtuelle Maschinen (EC2-Instanz) in CWP für AWS-EC2-Instanzen umfasst zwei Ebenen von Anforderungen. Die EC2-Instanz muss zunächst als SSM-verwaltete Instanz registriert werden (Einrichtung auf Kontoebene), und anschließend muss jede einzelne Instanz die Anforderungen auf VM-Ebene erfüllen, bevor das Schutzprodukt darauf installiert werden kann. Andere Funktionen von CWP funktionieren auch bei Konten, die diese Voraussetzungen nicht erfüllen.
Projektvoraussetzungen
Diese Anforderungen gelten auf der Ebene des „ AWS-Kontos. CWP konfiguriert sie automatisch während des Onboardings, wenn die DHMC-Vorlagenvariante verwendet wird. Bei Konten, bei denen DHMC während der Einrichtung (oder davor) nicht konfiguriert wurde, müssen diese Schritte manuell durchgeführt werden, bevor die Aktivierung des VM-Schutzes erfolgen kann.
•Die EC2-Instanz muss eine SSM-verwaltete Instanz sein.
CWP führt die Bereitstellung des ESET Schutzprodukts über den AWS-Systems-Manager (SSM) durch. Damit SSM eine EC2-Instanz erreichen kann, muss diese Instanz als SSM-verwaltete Instanz registriert sein. Die empfohlene Vorgehensweise, um dies für alle Instanzen in einem Konto sicherzustellen, besteht in der Aktivierung der Standardkonfiguration zur Hostverwaltung (DHMC), die automatisch jede EC2-Instanz in einem Konto und einer Region registriert, ohne dass auf jeder Instanz ein spezielles IAM-Instanzprofil vorhanden sein muss.
Die Aktivierung von DHMC kann regional in der AWS-Konsole unter Systems Manager > Fleet Manager > Kontoverwaltung erfolgen oder organisationsweit über SSM Quick Setup. Weitere Informationen finden Sie in der AWS-Dokumentation zu DHMC.
Anforderungen auf VM-Ebene
Diese Anforderungen gelten für jede einzelne EC2-Instanz. Sobald die Konfiguration auf Kontoebene abgeschlossen ist, kann das Schutzprodukt nur dann auf einer Instanz bereitgestellt werden, wenn alle folgenden Bedingungen erfüllt sind.
•Die EC2-Instanz muss über einen ausgehenden Internetzugang verfügen.
Jede EC2-Instanz, auf der die Bereitstellung der Internet-Schutz-Lösung erfolgen soll, muss über einen ausgehenden Internetzugang verfügen. Für Instanzen in privaten Subnetzen ohne NAT-Gateway muss der ausgehende Internetzugang konfiguriert werden, bevor die Bereitstellung des Schutzes erfolgen kann.
•Der SSM-Agent muss installiert sein und ausgeführt werden.
Die AWS-SSM kommuniziert mit EC2-Instanzen über den SSM-Agenten. Die meisten AWS-bereitgestellten AMIs (Amazon Linux, Ubuntu Server, Windows Server) enthalten den SSM-Agenten bereits vorinstalliert. Bei benutzerdefinierten oder Drittanbieter-AMIs sollten Sie sicherstellen, dass der Agent installiert ist und ausgeführt wird.
Anweisungen zur Installation sowie Informationen dazu, wie Sie den Agentenstatus auf einer laufenden Instanz überprüfen können, finden Sie in der AWS-Dokumentation zu SSM-Agenten.
Für eine funktionsfähige Bereitstellung des Schutzes für Linux-EC2-Instanzen in AWS muss für das geschützte Konto oder die geschützte Organisation der AWS System Manager aktiviert sein, und auf EC2-Instanzen muss der SSM-Agent installiert sein.
•Auf der VM muss ein unterstütztes Betriebssystem laufen.
CWP kann das ESET-Schutzprodukt nur auf Instanzen bereitstellen, auf denen eine unterstützte Betriebssystemdistribution ausgeführt wird. Eine vollständige Liste der unterstützten Betriebssystemdistributionen finden Sie über den unten stehenden Link.
•Die VM muss die Systemanforderungen für Schutzprodukte erfüllen.
Jede virtuelle Maschine, auf der die Bereitstellung des Schutzes erfolgen soll, muss die Mindestanforderungen an Hardware und Software für die Bereitstellung des ESET-Schutzproduktes erfüllen.
Windows Server
oProzessor: Intel oder AMD Single-Core x64
oSpeicher: 256 MB freier Arbeitsspeicher
oFestplatte: 700 MB freier Speicherplatz
Linux
oProzessor: Intel/AMD x64 mit 2 Kernen (vCPUs)
oSpeicher: 2 GB Arbeitsspeicher
oFestplatte: 700 MB freier Speicherplatz
oGlibc 2.28 oder höher
oLinux-Kernel Version 4.18 oder höher
oJede UTF-8-kodierte Sprachumgebung
oSecure Boot muss deaktiviert werden |
Einrichtung der Integration in der ESET PROTECT Web-Konsole
Klicken Sie auf Verbinden, um den Prozess Integration verbinden zu durchlaufen:
1.Allgemeine Einrichtung – Geben Sie den Namen ein und wählen Sie eine Methode: AWS Organizations (mit ID der Stamm-Organisationseinheit) oder AWS-Einzelkonto (mit Konto-ID), geben Sie eine Kundenbeschreibung ein und klicken Sie auf Weiter.
2.Host-Verwaltung – Wählen Sie aus, ob die Standardkonfiguration für die Host-Verwaltung in Ihrem AWS-Konto aktiviert ist.
3.CloudFormation – Erstellen Sie einen Stack in AWS (klicken Sie auf die Schaltfläche InAWS starten, um den Stack-Status zu überprüfen oder die Einrichtung abzuschließen) und wählen Sie dann Status bestätigen aus.
4.Integrationsübersicht – Überprüfen Sie die Integrationszusammenfassung mit Ihren Einstellungen (Name, Methode, Konto-ID, ESETCWP S3-Bucket, Kundenbeschreibung) und klicken Sie auf Fertig stellen.
|
|
Wenn eine Integration abgeschlossen ist (Status: Aktiv), werden die synchronisierten virtuellen Maschinen in der Integration unter Computer > Baumstruktur „Unternehmen“ > ausgewählte Organisation (statische Gruppe) angezeigt.
|
Bereitstellung
Unterstützte Systemanforderungen und Betriebssysteme
Sie können den ESET-Schutz auf virtuellen Maschinen bereitstellen, die die Systemanforderungen für die Installation der ESET-Sicherheitsanwendung erfüllen:
•ESET Server Security for Windows (Windows-VMs)
•ESET Server Security for Linux (Linux-VMs)
Automatische Bereitstellung
Standardmäßig ist die automatische Bereitstellung deaktiviert. Im Abschnitt Konfiguration können Sie festlegen, wie sich ESET Cloud Workload Protection auf virtuellen Maschinen verhalten soll, die über Ihre verbundenen Cloud-Umgebungen integriert sind.
Sofern konfiguriert, wird alle 15 Minuten geprüft, ob sich in der angegebenen Gruppe (Ziel) eine geeignete virtuelle Maschine befindet, um die Bereitstellung zu starten. Falls ja, werden nach einigen Minuten der ESET Management-Agent und anschließend ein Sicherheitsprodukt auf der virtuellen Maschine installiert.
Das Audit-Log enthält Informationen zum Start der Bereitstellung.
Manuelle Bereitstellung
Wählen Sie die Computer aus, auf denen Sie das ESET Sicherheitsprodukt aktivieren möchten. Ein Lösungspaket wird automatisch zugewiesen.
1.Gehen Sie zu Computer, wählen Sie „Unternehmen (statische Gruppe)“ aus und listen Sie die virtuellen Maschinen auf.
2.Wählen Sie die virtuelle Maschineaus, klicken Sie auf die Schaltfläche mit den drei Punkten 
, wählen Sie Plattform-Module aus und klicken Sie auf ESET Sicherheitsanwendung für die Cloud aktivieren.
3.Ziele auswählen.
4.Stimmen Sie den rechtlichen Dokumenten zu und klicken Sie auf Aktivieren.
