Google Cloud Platform >

Diese Anforderungen gelten unabhängig davon, welchen Schutzumfang Sie wählen.

Ein Google-Konto mit ausreichenden IAM-Berechtigungen

Das Google-Konto, mit dem Sie sich während des Integrationsassistenten authentifizieren, muss über die entsprechenden IAM-Berechtigungen verfügen, um die folgenden Ressourcen in Ihrem Namen zu erstellen und zu konfigurieren:

•Ein neues GCP-Projekt (das CWP-Verwaltungsprojekt)

•Ein Dienstkonto in diesem Projekt

•IAM-Rollenzuordnungen in Ihrer Organisation oder Ihren Projekten

•Änderungen an den Richtlinien der Organisation (bei einer Integration auf Organisationsebene)

Am einfachsten lässt sich dies erreichen, indem man ein Konto verwendet, das auf Organisationsebene über die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) verfügt. Diese Rolle gewährt die Berechtigung, Projekte innerhalb der Organisation anzulegen, IAM-Richtlinien für die Organisation und ihre Projekte zu verwalten sowie Richtlinien auf Organisationsebene zu verwalten.

Ausreichende Quote für die Projekterstellung in Ihrer GCP-Organisation

GCP legt eine Obergrenze für die Anzahl der Projekte fest, die in Ihrer Organisation existieren dürfen. CWP muss beim Onboarding das ESET Cloud Workload Protection-Verwaltungsprojekt erstellen. Wenn das Kontingent Ihrer Organisation für die Projekterstellung ausgeschöpft ist, schlägt dieser Schritt fehl und die Integration kann nicht abgeschlossen werden. Vergewissern Sie sich vor Beginn der Integration, dass in Ihrer Organisation mindestens ein Projektplatz verfügbar ist.

Diese zusätzlichen Anforderungen gelten, wenn Sie einen Schutz auf Organisationsebene wählen.

Die Änderung der Unternehmensrichtlinien verstehen

Beim Onboarding ändert CWP zwei Organisationsrichtlinien in Ihrer GCP-Organisation:

•iam.allowedPolicyMemberDomains – Die Google Workspace-Kunden-ID von ESET wird der Liste der Domänen hinzugefügt, die Mitglieder von IAM-Richtlinien sein können.

•iam.managed.allowedPolicyMembers – Die Organisationsprinzipal von ESET wird der Liste der Prinzipale hinzugefügt, die erweiterte IAM-Mitglieder sein könen.

Diese Änderungen sind kumulativ – CWP entfernt oder überschreibt keine vorhandene Richtlinieneinträge. Wenn die Einschränkungen bereits so eingestellt sind, dass alles erlaubt ist (*), oder wenn es in Ihrer Organisation keine solchen Einschränkungen gibt, hat dieser Schritt keine Auswirkungen.

Die Bereitstellung des VM-Schutzes in CWP umfasst zwei Ebenen von Anforderungen:

•Zunächst muss das Projekt GCP eine Reihe von Voraussetzungen auf Projektebene erfüllen, bevor die Bereitstellung des VM-Schutzes erfolgen kann – entweder automatisch beim Onboarding oder manuell im Anschluss daran.

•Zweitens muss jede einzelne Instanz der Compute Engine die Anforderungen auf VM-Ebene erfüllen, bevor das Schutzprodukt darauf installiert werden kann. Andere Funktionen von CWP funktionieren auch bei Projekten, die diese Voraussetzungen nicht erfüllen.

Projektvoraussetzungen

Diese Anforderungen gelten auf der Ebene des GCP-Projekts. CWP konfiguriert sie automatisch beim Onboarding, sobald alle Bedingungen erfüllt sind. Bei Projekten, die diese Anforderungen zum Zeitpunkt der Einbindung nicht erfüllen, oder bei Projekten, die später im Rahmen einer Integration auf Organisationsebene hinzugefügt werden, wird die Konfiguration übersprungen und muss manuell durchgeführt werden, bevor die Aktivierung des VM-Schutzes für dieses Projekt erfolgen kann.

•Die Abrechnung ist aktiviert

GCP erfordert, dass die Abrechnung muss für ein Projekt aktiviert ist, bevor OS Config API aktiviert werden kann. Wenn für ein Projekt die Abrechnung beim Onboarding nicht aktiviert wird, kann CWP die erforderlichen Voraussetzungen für die Bereitstellung des VM-Schutzes nicht konfigurieren.

Um den Schutz auf GCP-VM-Instanzen für Projekte zu aktivieren, die zum Zeitpunkt der Integration noch nicht existierten oder für die die Aktivierung der Abrechnung nicht erfolgt war, müssen folgende Einstellungen manuell vorgenommen werden:

1. Aktivierung der erforderlichen APIs:

oOS Config API (osconfig.googleapis.com)

oStellen Sie sicher, dass die Aktivierung der Abrechnung für das Projekt erfolgt ist

2.Projekt-Metadaten konfigurieren:

oSetzen Sie enable-osconfig auf TRUE.

oSetzen Sie enable-guest-attributes auf TRUE.

oSetzen Sie enable-oslogin auf TRUE.

3.Aktivierung aller Funktionen im VM Manager:

oNavigieren Sie in der GCP-Konsole zu VM Manager > Projekteinstellungen und setzen Sie den Funktionsumfang für Patches und Konfigurationen auf „Vollständig“ (OSCONFIG_C).

•Die Compute Engine -API muss in den Zielprojekten aktiviert sein.

CWP aktiviert die osconfig.googleapis.com API in Ihren Projekten automatisch. Die Aktivierung von OS Config erfordert außerdem, dass die Compute Engine-APIcompute.googleapis.com) bereits im Zielprojekt aktiv ist (die Aktivierung erfolgt automatisch, sobald Sie Compute Engine zum ersten Mal in einem Projekt verwenden). Bei Projekten, die Compute Engine noch nie genutzt haben und für die die Aktivierung der Abrechnung nicht erfolgt ist, wird die Einrichtung von VM Manager automatisch übersprungen.

•OS Config API muss in den Zielprojekten aktiviert sein.

CWP aktiviert beim Onboarding automatisch die OS Config API (osconfig.googleapis.com), wenn alle Voraussetzungen erfüllt sind. Bei Projekten, die diese Voraussetzungen nicht erfüllen, wird die Konfiguration beim Onboarding übersprungen.

•Der VM-Manager muss eingerichtet sein.

Der VM-Manager wird beim Onboarding für alle Projekte konfiguriert. Wenn die erforderlichen Voraussetzungen nicht erfüllt sind, wird die Konfiguration für dieses Projekt übersprungen. Weitere Informationen zur manuellen Einrichtung finden Sie in der Dokumentation zum VM-Manager.

•Ausreichende Kontingente für die Zuweisung von Betriebssystemrichtlinien in den Zielprojektregionen

CWP stellt den VM-Schutz über Zuweisungen von GCP-Betriebssystemrichtlinien in der Betriebssystemkonfiguration. GCP legt eine Obergrenze für die Anzahl der Zuweisungen von Betriebssystemrichtlinien pro Projekt und Region fest.

Wenn diese Quote in einer bestimmten Region ausgeschöpft ist, kann CWP dort keine neue Zuweisung einer Betriebssystemrichtlinie erstellen, und die Bereitstellung des VM-Schutzes kann nicht auf Instanzen in dieser Region durchgeführt werden, bis eine bestehende Zuweisung gelöscht wird. Diese Quote wird für jede Region separat ermittelt. Eine ausgeschöpfte Quote in einer Region hat keine Auswirkungen auf andere Regionen.

Anforderungen auf VM-Ebene

Diese Anforderungen gelten für jede einzelne Compute Engine-Instanz. Bei der Aktivierung des VM-Schutzes für ein Projekt kann die Bereitstellung des Schutzprodukts nur dann auf einer VM erfolgen, wenn alle folgenden Bedingungen erfüllt sind. Diese können jederzeit überprüft und behoben werden, auch nachdem die Voraussetzungen für die Integration und auf Projektebene bereits erfüllt sind.

•Die Compute Engine-Instanz muss über Netzwerkzugang verfügen.

Jede Compute Engine-Instanz, auf der die Bereitstellung des Schutzprodukts erfolgen soll, muss über einen Internetzugang verfügen, damit die Installation des ESET-Schutzprodukts erfolgen kann.

•Der Google Cloud VM-Manager muss mit Ihren VM-Images kompatibel sein.

CWP aktiviert GCP-VM-Manager (OS Config) in Ihren Projekten. Der VM-Manager kommuniziert mit den VMs über den OS Config-Agenten, der auf allen von GCPbereitgestellten Standard-Betriebssystem-Images vorinstalliert ist (Debian, Ubuntu, CentOS, RHEL, Rocky Linux, Windows Server und andere). VMs, auf denen benutzerdefinierte Images ausgeführt werden, die den OS Config-Agenten nicht enthalten, sind für CWP für die Bereitstellung des Schutzes nicht erreichbar.

Überprüfen Sie, ob der OS config-Agent auf der VM installiert ist: GCPDokumentation

•Auf der VM muss ein unterstütztes Betriebssystem laufen.

CWP kann das ESET-Schutzprodukt nur auf VMs bereitstellen, auf denen eine unterstützte Betriebssystemdistribution läuft. Die unterstützten Betriebssystemversionen finden Sie weiter unten.

•Die VM muss die Systemanforderungen für Schutzprodukte erfüllen.

Jede virtuelle Maschine, auf der die Bereitstellung des Schutzes erfolgen soll, muss die Mindestanforderungen an Hardware und Software für die Bereitstellung des ESET-Schutzproduktes erfüllen.

Windows Server

oProzessor: Intel oder AMD Single-Core x64

oSpeicher: 256 MB freier Arbeitsspeicher

oFestplatte: 700 MB freier Speicherplatz

Linux

oProzessor: Intel/AMD x64 mit 2 Kernen (vCPUs)

oSpeicher: 2 GB Arbeitsspeicher

oFestplatte: 700 MB freier Speicherplatz

oGlibc 2.28 oder höher

oLinux-Kernel Version 4.18 oder höher

oJede UTF-8-kodierte Sprachumgebung

oSecure Boot muss deaktiviert werden