Funciones principales de ESET Cloud Workload Protection—Microsoft Azure, Amazon Web Services, Google Cloud Platform
•Permite la visibilidad y la protección de las cargas de trabajo en la nube mediante la sincronización de máquinas virtuales organizadas en grupos de recursos.
•Permite la implementación de protección de seguridad en las cargas de trabajo, ya sea de forma manual o automática, para las instancias recién creadas.
•Proporciona indicadores de seguridad a nivel de punto de acceso a partir de cargas de trabajo protegidas, lo que amplía la visibilidad de las amenazas en los entornos de nube.
•Proporciona contexto de recurso ampliado en Incidentes y admite acciones de respuesta en máquinas protegidas.
•Ingiere más indicadores de nube y telemetría, lo que amplía la visibilidad de la actividad del entorno de nube.
Cómo activar la integración
Requisitos previos
Revise y complete todos los requisitos previos que se aplican a la ruta de acceso elegida antes de iniciar la implementación de la plantilla CloudFormation.
Estos requisitos se aplican independientemente de la plantilla que seleccione.
La cuenta está en la partición estándar de AWS.
Solo se admiten AWS Organizations y cuentas en la partición comercial estándar de AWS. No se admiten cuentas en otras particiones (como AWS GovCloud o AWS China).
Permisos de las cuentas AWS
El IAM principal de AWS (usuario o rol) que use para implementar la pila de CloudFormation debe tener permisos suficientes para crear todos los recursos que proporciona la plantilla.
Ámbito necesario de permisos: AdministratorAccess o una política personalizada que permita crear:
•Roles de IAM y políticas administradas
•Buckets S3 y políticas relacionadas
•Seguimiento de CloudTrail
•Funciones Lambda (se invocan como recursos personalizados de CloudFormation)
•Pilas de CloudFormation y StackSets
Si no está seguro de si cuenta con las credenciales suficientes, consulte con su administrador de AWS antes de continuar.
Implemente la pila solo una vez por cuenta u organización.
Cada plantilla crea recursos con nombres fijos (por ejemplo, CwppServiceRole). Si se implementa una segunda pila en la misma cuenta, se producirá un error de recurso ya existente. Si una implementación anterior ha fallado o debe repetirse, elimine primero la pila existente de CloudFormation.
Región de AWS compatible con CloudTrail
Implemente la pila en una región de AWS que admita registros de seguimiento de varias regiones de CloudTrail. Todas las regiones comerciales estándar de AWS califican. Las regiones de GovCloud y China no son compatibles.
|
|
Las instancias de EC2 deben tener SSM Agent instalado y en ejecución (está preinstalado en la mayoría de AMI proporcionadas por AWS) en cualquier instancia en la que tenga previsto implementar el producto de protección de ESET. DHMC habilita la administración automática, pero no instala SSM Agent. Este requisito también se puede activar más adelante y no es obligatorio antes de la incorporación.
|
|
Estos requisitos adicionales se aplican cuando se utiliza cualquiera de las plantillas de organización.
Implemente desde la cuenta de administración.
Las plantillas de organización deben implementarse mientras se ha iniciado sesión en la cuenta de administración de AWS Organizations. No puede utilizar una cuenta de miembro en esta implementación.
Localice el ID de la unidad organizativa raíz.
Durante la implementación, se le pedirá el ID de su unidad organizativa raíz, que se utiliza para realizar la implementación de StackSets en todas las cuentas. Para encontrarlo:
1.Abra la consola de AWS Organizations.
2.Haga clic en la entrada Raíz en la parte superior del árbol organizativo.
3.Copie el ID: tiene el formato r-xxxx.
Para obtener instrucciones detalladas, consulte la documentación de AWS sobre cómo navegar por la jerarquía de su organización.
Permiso para activar el acceso de confianza de Organizations y CloudFormation.
La plantilla activa automáticamente el acceso de confianza entre CloudFormation y AWS Organizations (a través de un recurso personalizado Lambda). Se debe permitir que la entidad de seguridad de implementación llame a cloudformation:ActivateOrganizationsAccess. Esto se incluye en AdministratorAccess. Si usa un conjunto de permisos con ámbito, asegúrese de que esta acción se permita explícitamente.
|
Estos requisitos adicionales se aplican cuando se utiliza cualquiera de las variantes de plantilla de DHMC.
No hay conflictos en la configuración predeterminada de administración de host (DHMC)
Si anteriormente ha usado la configuración rápida de AWS SSM para configurar DHMC, aunque sea parcialmente, no puede usar la incorporación en toda la organización con la configuración de DHMC. Las dos configuraciones entrarán en conflicto. En ese caso:
1.Utilice la incorporación de organizaciones que no sean de DHMC.
2.En los ajustes de la configuración rápida de SSM existente, asegúrese de que DHMC esté activo en todas las cuentas de los miembros y en todas las regiones en las que se implementará CWP.
Permisos para la configuración rápida de SSM
Además de los permisos de organización básicos, la entidad de destino de implementación necesita:
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•Permiso para crear roles vinculados a servicios
Todos ellos están incluidos en AdministratorAccess. La plantilla crea un Lambda que realiza estos pasos automáticamente, no es necesario ejecutar ningún comando manualmente.
|
La habilitación de la protección de VM (instancia de EC2) en CWP para instancias de AWS EC2 implica dos niveles de requisitos. En primer lugar, la instancia de EC2 debe registrarse como una instancia administrada por SSM (configuración a nivel de cuenta) y, a continuación, cada instancia individual debe cumplir los requisitos a nivel de máquina virtual para que el producto de protección pueda instalarse en ella. Otras funciones de CWP funcionan en cuentas que no cumplen estos requisitos previos.
Requisitos previos del proyecto
Estos requisitos se aplican a nivel de cuenta de AWS. CWP los configura automáticamente durante la incorporación cuando se utiliza la variante de plantilla DHMC. En el caso de las cuentas en las que DHMC no se configuró durante la incorporación (o antes), estos pasos deben completarse manualmente antes de que se pueda habilitar la protección de la máquina virtual.
•La instancia de EC2 debe ser una instancia administrada por SSM
CWP implementa el producto de protección de ESET a través del administrador de sistemas (SSM) de AWS. Para que SSM llegue a una instancia de EC2, esa instancia debe estar registrada como una instancia administrada por SSM. La forma recomendada de garantizarlo para todas las instancias de una cuenta es habilitar la configuración predeterminada de administración de host (DHMC), que registra automáticamente todas las instancias de EC2 en una cuenta y una región sin necesidad de un perfil de instancia dedicado de IAM en cada instancia.
DHMC se puede activar por región en la consola de AWS en Administrador de sistemas > Administrador de flota > Administración de cuentas o en toda la organización a través de la configuración rápida de SSM. Consulte la documentación de AWS DHMC para obtener más información.
Requisitos a nivel de máquina virtual
Estos requisitos se aplican a cada instancia individual de EC2. Una vez que se ha establecido la configuración a nivel de cuenta, el producto de protección solo se puede implementar en una instancia si cumple todo lo siguiente.
•La instancia de EC2 debe tener acceso a Internet saliente
Cada instancia de EC2 destinada a la implementación de protección debe tener acceso a Internet saliente. En instancias en subredes privadas sin puerta de enlace de NAT, se debe configurar el acceso a Internet saliente antes de que se pueda implementar la protección.
•SSM Agent debe estar instalado y en ejecución
AWS SSM se comunica con las instancias de EC2 a través de SSM Agent. La mayoría de las AMI proporcionadas por AWS (Amazon Linux, Ubuntu Server, Windows Server) incluyen SSM Agent preinstalado. En el caso de AMI personalizadas o de terceros, compruebe que el agente esté instalado y en ejecución.
Consulte la documentación del SSM Agent de AWS para obtener instrucciones de instalación y cómo verificar el estado del agente en una instancia en ejecución.
Para tener una implementación funcional de protección en instancias EC2 para Linux en AWS, la cuenta u organización protegida debe tener habilitado el administrador de sistemas de AWS y las instancias EC2 deben tener instalado SSM Agent.
•La máquina virtual debe ejecutar un sistema operativo compatible
CWP solo puede implementar el producto de protección de ESET en instancias que ejecuten una distribución de SO compatible. Para obtener la lista completa de distribuciones de SO compatibles, consulte la referencia a continuación.
•La máquina virtual debe cumplir los requisitos del sistema del producto de protección
Cada máquina virtual destinada a la implementación de protección debe cumplir los requisitos mínimos de hardware y software para el producto de protección de ESET.
Windows Server
oProcesador: Intel o AMD x64 de un solo núcleo
oMemoria: 256 MB de RAM disponible
oDisco duro: 700 MB de espacio disponible en disco
Linux
oProcesador: Intel/AMD x64 con 2 núcleos (vCPU)
oMemoria: 2 GB de RAM
oDisco duro: 700 MB de espacio disponible en disco
oGlibc 2.28 o posterior
oKernel de Linux versión 4.18 o posterior
oCualquier configuración regional de codificación UTF-8
oEl arranque seguro debe estar desactivado |
Configuración de la integración en ESET PROTECT Web Console
Haga clic en Conectar para recorrer el proceso de Conectar integración:
1.Configuración general: escriba el valor de Nombre, seleccione un método, AWS Organizations (con ID de unidad de organización raíz) o Cuenta única de AWS (con ID de cuenta), escriba Descripción del cliente y haga clic en Continuar.
2.Administración de hosts: indique si desea activar la configuración predeterminada de la administración de clientes en su cuenta de AWS.
3.CloudFormation: cree una pila en AWS (haga clic en el botón Abrir enAWS para comprobar el estado de la pila o completar la configuración) y, a continuación, seleccione Confirmar estado.
4.Resumen de integración: compruebe que los ajustes de Resumen de integración sean correctos (Nombre, Método, ID de cuenta, ESET CWP S3 Bucket, Descripción del cliente) y haga clic en Finalizar.
|
|
Cuando finaliza una integración (Estado: activa), puede ver las máquinas virtuales sincronizadas en la integración en Ordenadores > Árbol de empresas > organización seleccionada (grupo estático).
|
Implementación
Requisitos del sistema y sistemas operativos compatibles
Puede implementar la protección de ESET en máquinas virtuales que cumplan los requisitos del sistema para la instalación de la aplicación de seguridad de ESET:
•ESET Server Security for Windows (máquinas virtuales Windows)
•ESET Server Security for Linux (máquinas virtuales Linux)
Implementación automática
De forma predeterminada, la implementación automática está desactivada. Puede definir cómo se comporta ESET Cloud Workload Protection en las máquinas virtuales integradas desde sus entornos de nube conectados en la sección Configuración.
Si se configura, cada 15 minutos se comprueba si hay una máquina virtual apta en el grupo (destino) para iniciar la implementación. En caso afirmativo, el agente de ESET Management y, a continuación, un producto de seguridad se instalarán en la máquina virtual en unos minutos.
El registro de auditoría contiene información sobre el inicio de la implementación.
Implementación manual
Seleccione los ordenadores en los que desea activar el producto de seguridad de ESET. Se asignará automáticamente una suscripción.
1.Vaya a Ordenadores > seleccione Empresa (grupo estático) > lista de máquinas virtuales.
2.Seleccione la máquina virtual > haga clic en el botón de los tres puntos 
> seleccione Módulos de plataforma > haga clic en Activar aplicación de seguridad de ESET para la nube.
3.Seleccionar destinos.
4.Acepte Documentos legales y haga clic en Activar.
