ESET Cloud Workload Protection – Κύριες λειτουργίες Microsoft Azure, Amazon Web Services, Google Cloud Platform
•Επιτρέπει την ορατότητα και την προστασία των φόρτων εργασίας στο cloud συγχρονίζοντας εικονικούς υπολογιστές οργανωμένους σε ομάδες πόρων.
•Επιτρέπει την ανάπτυξη της προστασίας ασφάλειας σε φόρτους εργασίας, είτε μη αυτόματα είτε αυτόματα, για νέες παρουσίες.
•Παρέχει δείκτες ασφάλειας σε επίπεδο τερματικού από προστατευμένους φόρτους εργασίας, επεκτείνοντας την ορατότητα σε απειλές σε περιβάλλοντα cloud.
•Παρέχει εκτεταμένο περιβάλλον πόρων στα Συμβάντα και υποστηρίζει ενέργειες απόκρισης σε προστατευμένους υπολογιστές.
•Απορροφά περισσότερους δείκτες cloud και δεδομένα τηλεμετρίας, επεκτείνοντας την ορατότητα στη δραστηριότητα του περιβάλλοντος cloud.
Πώς να ενεργοποιήσετε την ενοποίηση
Προαπαιτούμενα
Ελέγξτε και συμπληρώστε όλα τα προαπαιτούμενα που εφαρμόζονται για την επιλεγμένη διαδρομή προτού ξεκινήσετε την ανάπτυξη του προτύπου CloudFormation.
Αυτές οι απαιτήσεις ισχύουν ανεξάρτητα από το πρότυπο που επιλέγετε.
Ο λογαριασμός βρίσκεται στο τυπικό διαμέρισμα AWS
Υποστηρίζονται μόνο οργανισμοί AWS και λογαριασμοί στο τυπικό εμπορικό διαμέρισμα AWS. Δεν υποστηρίζονται λογαριασμοί σε άλλα διαμερίσματα (όπως AWS GovCloud ή AWS Κίνας).
Δικαιώματα λογαριασμού AWS
Ο κύριος (χρήστης ή ρόλος) AWS IAM που χρησιμοποιείτε για την ανάπτυξη της στοίβας CloudFormation πρέπει να έχει επαρκή δικαιώματα για τη δημιουργία όλων των πόρων που παρέχει το πρότυπο.
Πεδίο εφαρμογής απαιτούμενων δικαιωμάτων: AdministratorAccess ή μια προσαρμοσμένη πολιτική που επιτρέπει τη δημιουργία:
•Ρόλοι IAM και διαχειριζόμενες πολιτικές
•Κάδοι S3 και πολιτικές κάδου
•Ίχνη CloudTrail
•Συναρτήσεις Lambda (επικαλούνται ως προσαρμοσμένοι πόροι CloudFormation)
•Στοίβες CloudFormation και StackSets
Εάν δεν είστε βέβαιοι ότι τα διαπιστευτήριά σας είναι επαρκή, επικοινωνήστε με τον διαχειριστή AWS πριν συνεχίσετε.
Αναπτύξτε τη στοίβα μόνο μία φορά ανά λογαριασμό/οργανισμό
Κάθε πρότυπο δημιουργεί πόρους με σταθερά ονόματα (για παράδειγμα, CwppServiceRole). Η ανάπτυξη μιας δεύτερης στοίβας στον ίδιο λογαριασμό θα αποτύχει με το σφάλμα «ο πόρος υπάρχει ήδη». Εάν μια προηγούμενη ανάπτυξη απέτυχε ή πρέπει να επαναληφθεί, καταργήστε πρώτα την υπάρχουσα στοίβα CloudFormation.
Περιοχή AWS με υποστήριξη CloudTrail
Αναπτύξτε τη στοίβα σε μια περιοχή AWS που υποστηρίζει ίχνη CloudTrail πολλών περιοχών. Όλες οι τυπικές εμπορικές περιοχές AWS πληρούν τις προϋποθέσεις. Οι περιοχές GovCloud και η Κίνα δεν υποστηρίζονται.
|
|
Στις παρουσίες EC2 πρέπει να έχει εγκατασταθεί και να εκτελείται ο φορέας SSM (είναι προεγκατεστημένος στα περισσότερα AMI που παρέχονται από το AWS) σε κάθε παρουσία στην οποία σκοπεύετε να αναπτύξετε το προϊόν προστασίας ESET. Το DHMC ενεργοποιεί την αυτόματη διαχείριση, αλλά δεν εγκαθιστά τον φορέα SSM. Αυτή η απαίτηση μπορεί επίσης να ενεργοποιηθεί αργότερα και δεν είναι υποχρεωτική πριν από την ενσωμάτωση.
|
|
Αυτές οι πρόσθετες απαιτήσεις εφαρμόζονται όταν χρησιμοποιείτε οποιοδήποτε από τα δύο πρότυπα οργανισμού.
Ανάπτυξη από τον λογαριασμό διαχείρισης
Τα πρότυπα οργανισμού πρέπει να αναπτυχθούν ενώ είστε συνδεδεμένοι στον λογαριασμό διαχείρισης οργανισμών AWS. Δεν μπορείτε να χρησιμοποιήσετε λογαριασμό μέλους για αυτήν την ανάπτυξη.
Εντοπίστε το αναγνωριστικό μονάδας ριζικού οργανισμού
Κατά τη διάρκεια της ανάπτυξης, θα σας ζητηθεί το αναγνωριστικό της μονάδας ριζικού οργανισμού, το οποίο χρησιμοποιείται για την ανάπτυξη των StackSets σε όλους τους λογαριασμούς. Για να το βρείτε:
1.Ανοίξτε την κονσόλα οργανισμών AWS.
2.Κάντε κλικ στην καταχώρηση Ρίζα στο επάνω μέρος της δομής του οργανισμού.
3.Αντιγράψτε το αναγνωριστικό – έχει τη μορφή r-xxxx.
Για λεπτομερείς οδηγίες, ανατρέξτε στην τεκμηρίωση AWS σχετικά με την περιήγηση στην ιεραρχία του οργανισμού σας.
Άδεια ενεργοποίησης του CloudFormation – Αξιόπιστη πρόσβαση οργανισμών
Το πρότυπο ενεργοποιεί αυτόματα την αξιόπιστη πρόσβαση μεταξύ οργανισμών του CloudFormation και του AWS (μέσω προσαρμοσμένου πόρου Lambda). Στον κύριο ανάπτυξης πρέπει να επιτρέπεται να καλέσει την παράμετρο cloudformation:ActivateOrganizationsAccess. Αυτή περιλαμβάνεται στην παράμετρο AdministratorAccess. Εάν χρησιμοποιείτε ένα σύνολο δικαιωμάτων με πεδίο εφαρμογής, βεβαιωθείτε ότι αυτή η ενέργεια επιτρέπεται ρητά.
|
Αυτές οι πρόσθετες απαιτήσεις ισχύουν όταν χρησιμοποιείτε οποιαδήποτε παραλλαγή προτύπου DHMC.
Προεπιλεγμένη ρύθμιση παραμέτρων διαχείρισης κεντρικού υπολογιστή χωρίς διενέξεις (DHMC)
Εάν χρησιμοποιούσατε προηγουμένως τη Γρήγορη εγκατάσταση SSM του AWS για να ρυθμίσετε τις παραμέτρους του DHMC, έστω και εν μέρει, δεν μπορείτε να χρησιμοποιήσετε την ενσωμάτωση σε ολόκληρο τον οργανισμό με τη ρύθμιση DHMC. Οι δύο ρυθμίσεις παραμέτρων θα έρχονται σε διένεξη. Σε αυτή την περίπτωση:
1.Χρησιμοποιήστε την ενσωμάτωση του οργανισμού που δεν ανήκει στο DHMC.
2.Στην υπάρχουσα ρύθμιση παραμέτρων γρήγορης ρύθμισης SSM, βεβαιωθείτε ότι το DHMC είναι ενεργό σε όλους τους λογαριασμούς μελών και σε όλες τις περιοχές όπου θα αναπτυχθεί το CWP.
Δικαιώματα για τη Γρήγορη ρύθμιση SSM
Εκτός από τα δικαιώματα του βασικού οργανισμού, ο κύριος ανάπτυξης χρειάζεται:
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•Δικαίωμα δημιουργίας ρόλων που συνδέονται με την υπηρεσία
Όλα αυτά περιλαμβάνονται στην παράμετρο AdministratorAccess. Το πρότυπο δημιουργεί ένα στοιχείο Lambda που εκτελεί αυτά τα βήματα αυτόματα. Δεν χρειάζεται να εκτελέσετε καμία εντολή μη αυτόματα.
|
Η ενεργοποίηση της προστασίας εικονικού υπολογιστή (παρουσία EC2) στο CWP για παρουσίες του AWS EC2 περιλαμβάνει δύο επίπεδα απαιτήσεων. Η παρουσία EC2 πρέπει πρώτα να εγγραφεί ως παρουσία διαχειριζόμενη από SSM (ρύθμιση σε επίπεδο λογαριασμού) και, στη συνέχεια, κάθε μεμονωμένη παρουσία πρέπει να πληροί τις απαιτήσεις επιπέδου εικονικού υπολογιστή για να είναι δυνατή η εγκατάσταση του προϊόντος προστασίας σε αυτόν. Άλλη λειτουργικότητα του CWP λειτουργεί σε λογαριασμούς που δεν πληρούν αυτά τα προαπαιτούμενα.
Προαπαιτούμενα του έργου
Αυτές οι απαιτήσεις εφαρμόζονται σε επίπεδο λογαριασμού του AWS. Το CWP εκτελεί ρύθμιση παραμέτρων αυτόματα κατά την ενσωμάτωση όταν χρησιμοποιείται η παραλλαγή προτύπου DHMC. Για λογαριασμούς στους οποίους το DHMC δεν είχε ρυθμιστεί κατά την ενσωμάτωση (ή πριν), αυτά τα βήματα πρέπει να ολοκληρωθούν μη αυτόματα για να μπορέσει να ενεργοποιηθεί η προστασία εικονικού υπολογιστή.
•Η παρουσία EC2 πρέπει να είναι παρουσία διαχειριζόμενη από το SSM
Το CWP αναπτύσσει το προϊόν προστασίας ESET μέσω της διαχείρισης συστημάτων (SSM) AWS. Για να φτάσει το SSM σε μια παρουσία EC2, αυτή η παρουσία πρέπει να εγγραφεί ως παρουσία διαχειριζόμενη από το SSM. Ο συνιστώμενος τρόπος για να διασφαλιστεί αυτό για όλες τις παρουσίες σε έναν λογαριασμό είναι η ενεργοποίηση της Προεπιλεγμένης ρύθμισης παραμέτρων διαχείρισης κεντρικού υπολογιστή (Default Host Management Configuration ή DHMC), η οποία εγγράφει αυτόματα κάθε παρουσία EC2 σε έναν λογαριασμό και μια περιοχή χωρίς να απαιτείται αποκλειστικό προφίλ παρουσίας IAM σε κάθε παρουσία.
Το DHMC μπορεί να ενεργοποιηθεί ανά περιοχή στην κονσόλα AWS στη διαδρομή Διαχείριση συστημάτων > Διαχείριση στόλου > Διαχείριση λογαριασμού ή σε ολόκληρο τον οργανισμό μέσω της Γρήγορης ρύθμισης SSM. Ανατρέξτε στην τεκμηρίωση του DHMC του AWS για λεπτομέρειες.
Απαιτήσεις σε επίπεδο εικονικού υπολογιστή
Αυτές οι απαιτήσεις εφαρμόζονται για κάθε μεμονωμένη παρουσία EC2. Όταν υπάρχει η ρύθμιση σε επίπεδο λογαριασμού, το προϊόν προστασίας μπορεί να αναπτυχθεί σε μια παρουσία μόνο εάν πληροί όλα τα παρακάτω.
•Η παρουσία EC2 πρέπει να έχει εξερχόμενη πρόσβαση στο διαδίκτυο
Κάθε παρουσία EC2 που αποτελεί προορισμό για ανάπτυξη προστασίας πρέπει να έχει εξερχόμενη πρόσβαση στο διαδίκτυο. Σε παρουσίες σε ιδιωτικά υποδίκτυα χωρίς πύλη NAT, η ρύθμιση παραμέτρων της εξερχόμενης πρόσβασης στο διαδίκτυο πρέπει να έχει πραγματοποιηθεί για να αναπτυχθεί η προστασία.
•Ο φορέας SSM πρέπει να είναι εγκατεστημένος και να εκτελείται
Το AWS SSM επικοινωνεί με τις παρουσίες EC2 μέσω του φορέα SSM. Τα περισσότερα AMI που παρέχονται από το AWS (Amazon Linux, Ubuntu Server, Windows Server) περιλαμβάνουν προεγκατεστημένο φορέα SSM. Για προσαρμοσμένα AMI ή AMI τρίτων, βεβαιωθείτε ότι ο φορέας είναι εγκατεστημένος και εκτελείται.
Ανατρέξτε στην τεκμηρίωση του φορέα AWS SSM για οδηγίες εγκατάστασης και τον τρόπο επαλήθευσης της κατάστασης του φορέα σε μια παρουσία που εκτελείται.
Για να έχετε μια λειτουργική ανάπτυξη προστασίας σε παρουσίες EC2 για Linux στο AWS, πρέπει να έχει ενεργοποιηθεί η Διαχείριση συστήματος AWS του προστατευμένου λογαριασμού ή οργανισμού και στις παρουσίες EC2 πρέπει να έχει εγκατασταθεί ο φορέας SSM.
•Ο εικονικός υπολογιστής πρέπει να εκτελεί ένα υποστηριζόμενο λειτουργικό σύστημα
Το CWP μπορεί να αναπτύξει το προϊόν προστασίας ESET μόνο σε παρουσίες που εκτελούν μια υποστηριζόμενη διανομή λειτουργικού συστήματος. Για την πλήρη λίστα των υποστηριζόμενων διανομών λειτουργικού συστήματος, ανατρέξτε στην παρακάτω παραπομπή.
•Ο εικονικός υπολογιστής πρέπει να πληροί τις απαιτήσεις συστήματος του προϊόντος προστασίας
Κάθε εικονικός υπολογιστής που προορίζεται για ανάπτυξη προστασίας πρέπει να πληροί τις ελάχιστες απαιτήσεις υλικού και λογισμικού για το προϊόν προστασίας ESET.
Διακομιστής Windows
oΕπεξεργαστής: Μονοπύρηνος επεξεργαστής Intel ή AMD x64
oΜνήμη: 256 MB ελεύθερης μνήμης RAM
oΣκληρός δίσκος: 700 MB ελεύθερου χώρου στο δίσκο
Linux
oΕπεξεργαστής: Intel/AMD x64 με 2 πυρήνες (vCPU)
oΜνήμη: 2 GB μνήμης RAM
oΣκληρός δίσκος: 700 MB ελεύθερου χώρου στο δίσκο
oGlibc 2.28 ή νεότερη έκδοση
oΈκδοση πυρήνα Linux 4.18 ή νεότερη έκδοση
oΟποιαδήποτε τοπική ρύθμιση κωδικοποίησης UTF-8
oΗ Ασφαλής εκκίνηση πρέπει να είναι απενεργοποιημένη |
Ρύθμιση ενοποίησης στην Κονσόλα διαδικτύου ESET PROTECT
Κάντε κλικ στο Σύνδεση για να περάσετε από τη διαδικασία Σύνδεσης ενοποίησης:
1.Γενικές ρυθμίσεις – Πληκτρολογήστε Όνομα, επιλέξτε μια μέθοδο: Οργανισμοί AWS (με Αναγνωριστικό μονάδας ριζικού οργανισμού) ή Ενιαίος λογαριασμός AWS (με Αναγνωριστικό λογαριασμού), πληκτρολογήστε Περιγραφή υπολογιστή-πελάτη και κάντε κλικ στο Συνέχεια.
2.Διαχείριση κεντρικού υπολογιστή – Επιλέξτε εάν θέλετε η προεπιλεγμένη διαμόρφωση διαχείρισης κεντρικού υπολογιστή είναι ενεργοποιημένη στον λογαριασμό σας στο AWS.
3.CloudFormation– Δημιουργήστε μια στοίβα στο AWS (κάντε κλικ στην Εκκίνηση στο AWS για να ελέγξετε την κατάσταση της στοίβας ή να ολοκληρώσετε τη ρύθμιση) και, στη συνέχεια, επιλέξτε Επιβεβαίωση κατάστασης.
4.Περίληψη ενοποίησης – Ελέγξτε την Περίληψη ενοποίησης με τις ρυθμίσεις σας (Όνομα, Μέθοδος, Αναγνωριστικό λογαριασμού, Κάδος ESET CWP S3, Περιγραφή υπολογιστή-πελάτη) και κάντε κλικ στο Τέλος.
|
|
Όταν ολοκληρωθεί μια ενοποίηση (Κατάσταση: Ενεργή), μπορείτε να δείτε τους εικονικούς υπολογιστές που έχουν συγχρονιστεί στην Ενοποίηση στο στοιχείο Υπολογιστές > Δομή εταιρειών > επιλεγμένος οργανισμός (στατική ομάδα).
|
Ανάπτυξη
Απαιτήσεις υποστηριζόμενων συστημάτων και λειτουργικά συστήματα
Μπορείτε να αναπτύξετε την προστασία ESET σε εικονικούς υπολογιστές που πληρούν τις απαιτήσεις συστήματος για την εγκατάσταση της εφαρμογής ασφάλειας ESET:
•ESET Server Security for Windows (Εικονικοί υπολογιστές Windows)
•ESET Server Security for Linux (Εικονικός υπολογιστής Linux)
Αυτόματη ανάπτυξη
Από προεπιλογή, η αυτόματη ανάπτυξη είναι απενεργοποιημένη. Μπορείτε να ορίσετε τον τρόπο που θα συμπεριφέρεται το ESET Cloud Workload Protection σε εικονικούς υπολογιστές που έχουν ενοποιηθεί από τα συνδεδεμένα περιβάλλοντα cloud στην ενότητα Ρύθμιση παραμέτρων.
Εάν ρυθμιστούν οι παράμετροι, κάθε 15 λεπτά ελέγχεται εάν υπάρχει κατάλληλος εικονικός υπολογιστής στη δεδομένη ομάδα (προορισμός) για να ξεκινήσει η ανάπτυξη. Εάν υπάρχει, σε λίγα λεπτά θα εγκατασταθεί στον εικονικό υπολογιστή ο φορέας ESET Management και, στη συνέχεια, ένα προϊόν ασφάλειας.
Το αρχείο καταγραφής ελέγχου περιέχει πληροφορίες σχετικά με την έναρξη της ανάπτυξης.
Μη αυτόματη ανάπτυξη
Επιλέξτε τους υπολογιστές στους οποίους θέλετε να ενεργοποιήσετε το προϊόν ασφάλειας ESET. Μια συνδρομή θα εκχωρηθεί αυτόματα.
1.Μεταβείτε στο στοιχείο Υπολογιστές, επιλέξτε την Εταιρεία (στατική ομάδα > λίστα εικονικών υπολογιστών.
2.Επιλέξτε τον εικονικό υπολογιστή > κάντε κλικ στο κουμπί με τις τρεις τελείες 
> επιλέξτε Μονάδες πλατφόρμας > κάντε κλικ στο στοιχείο Ενεργοποίηση της εφαρμογής ασφάλειας ESET για cloud.
3.Επιλογή προορισμών.
4.Επιλέξτε το στοιχείο για να συμφωνήσετε με τα Νομικά έγγραφα και κάντε κλικ στο στοιχείο Ενεργοποίηση.
