ESET Cloud Workload Protection : principales fonctionnalités de Microsoft Azure, Amazon Web Services, Google Cloud Platform
•Permet la visibilité et la protection des charges de travail infonuagiques en synchronisant les machines virtuelles organisées en groupes de ressources.
•Permet le déploiement de la protection de sécurité pour les charges de travail, soit manuellement, soit automatiquement, pour les instances nouvellement créées.
•Fournit des indicateurs de sécurité au niveau des terminaux à partir de charges de travail protégées, élargissant ainsi la visibilité des menaces dans les environnements infonuagiques.
•Fournit un contexte étendu de l’actif dans Incidents et prend en charge les actions de réponse sur les machines protégées.
•Intègre plus d’indicateurs infonuagiques et de télémétrie, élargissant ainsi la visibilité sur l’activité de l’environnement infonuagique.
Comment activer l’intégration
Configuration requise
Vérifiez et remplissez toutes les conditions préalables qui s’appliquent au processus que vous avez choisi avant de lancer le déploiement du modèle CloudFormation.
Ces exigences s’appliquent, peu importe le modèle choisi.
Le compte se trouve dans la partition AWS standard
Seules les organisations et les comptes AWS dans la partition commerciale AWS standard sont pris en charge. Les comptes dans d’autres partitions (comme AWS GovCloud ou AWS Chine) ne sont pas pris en charge.
Autorisations de compte AWS
Le compte principal AWS IAM (utilisateur ou rôle) que vous utilisez pour déployer la pile CloudFormation doit avoir des autorisations suffisantes pour créer toutes les ressources que le modèle prévoie.
Étendue des autorisations requises AdministratorAccess, ou une politique personnalisée permettant de créer :
•des rôles et des politiques gérées IAM
•des compartiments et des politiques relatives aux compartiments S3
•des pistes CloudTrail
•des fonctions Lambda (invoquées comme ressources personnalisées CloudFormation)
•des piles CloudFormation et StackSets
Si vous n’êtes pas certain que vos droits d’accès soient suffisants, veuillez vérifier auprès de votre administrateur AWS avant de continuer.
Déployez la pile une seule fois par compte/organisation
Chaque modèle crée des ressources avec des noms fixes (par exemple, CwppServiceRole). Le déploiement d’une deuxième pile dans le même compte échouera et générera une erreur indiquant que la ressource existe déjà. Si un déploiement précédent a échoué ou doit être refait, supprimez d’abord la pile CloudFormation existante.
Région AWS avec prise en charge de CloudTrail
Permet le déploiement de la pile dans une région AWS qui prend en charge des pistes CloudTrail multirégions. Toutes les régions commerciales AWS standard sont admissibles. GovCloud et les régions de Chine ne sont pas prises en charge.
|
|
L’agent SSM doit être installé et en cours d’exécution sur les instances EC2 (il est préinstallé sur la plupart des AMI fournies par AWS) sur toutes les instances sur lesquelles vous prévoyez de déployer le produit de protection ESET. DHMC active la gestion automatique, mais n’installe pas l’agent SSM. Cette exigence peut aussi être activée plus tard et n’est pas obligatoire avant l’intégration.
|
|
Ces exigences supplémentaires s’appliquent lors de l’utilisation de l’un ou l’autre des modèles d’organisation.
Déploiement à partir du compte de gestion
Les modèles d’organisation doivent être déployés lorsque vous êtes connecté à votre compte de gestion des organisations AWS. Vous ne pouvez pas utiliser un compte membre pour ce déploiement.
Repérez votre identifiant d’unité organisationnelle racine
Au cours du déploiement, il vous sera demandé l’identifiant de votre unité organisationnelle racine, qui sert à déployer StackSets sur tous les comptes. Pour le trouver :
1.Ouvrez la console des organisations d’AWS.
2.Cliquez sur l’entrée Racine en haut de l’arborescence organisationnelle.
3.Copiez l’ID; il a le format r-xxxx.
Pour obtenir des instructions détaillées, consultez la documentation d’AWS sur la navigation dans la hiérarchie de votre organisation.
Autorisation d’activation de CloudFormation; accès sécurisé pour les organisations
Le modèle active automatiquement un accès sécurisé entre CloudFormation et les organisations d’AWS (au moyen d’une ressource personnalisée Lambda). Le principal de déploiement doit être autorisé à appeler cloudformation:ActivateOrganizationsAccess. Cela est inclus dans AdministratorAccess. Si vous utilisez un ensemble d’autorisations limité, assurez-vous que cette action est explicitement autorisée.
|
Ces exigences supplémentaires s’appliquent lors de l’utilisation de l’une ou l’autre variante du modèle DHMC.
Aucune Default Host Management Configuration (DHMC) (configuration de gestion d’hôte par défaut) conflictuelle
Si vous avez déjà utilisé la configuration rapide SSM d’AWS pour la configuration de la DHMC, même partiellement, vous ne pouvez pas utiliser l’intégration à l’échelle de l’organisation avec la configuration de la DHMC. Ces deux configurations entreront en conflit. Dans ce cas :
1.Utilisez l’intégration de l’organisation non-DHMC.
2.Dans votre configuration rapide SSM existante, assurez-vous que DHMC est actif dans tous les comptes membres et dans toutes les régions où CWP sera déployé.
Autorisations pour la configuration rapide SSM
En plus des autorisations d’organisation de base, le principal de déploiement a besoin des autorisations suivantes :
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•Autorisation de créer des rôles liés au service
Tous ces éléments sont inclus dans AdministratorAccess. Le modèle crée une machine Lambda qui exécute ces étapes automatiquement, vous n’avez pas besoin d’exécuter des commandes manuellement.
|
L’activation de la protection des machines virtuelles (EC2 instances) dans les instances CWP pour AWS EC2 implique deux niveaux d’exigences. L’instance EC2 doit d’abord être enregistrée comme instance gérée par SSM (configuration au niveau du compte), puis chaque instance individuelle doit répondre aux exigences au niveau de la machine virtuelle avant que le produit de protection puisse y être installé. D’autres fonctionnalités CWP s’appliquent aux comptes qui ne remplissent pas ces conditions préalables.
Prérequis du projet
Ces exigences s’appliquent au niveau du compte AWS. CWP les configure automatiquement lors de l’intégration lorsque la variante du modèle DHMC est utilisée. Pour les comptes pour lesquels DHMC n’a pas été configuré lors de la mise en service (ou avant), ces étapes doivent être effectuées manuellement avant de pouvoir activer la protection des machines virtuelles.
•L’instance EC2 doit être une instance gérée par SSM
CWP déploie le produit de protection ESET à l’aide d’AWS Systems Manager (SSM). Pour que SSM atteigne une instance EC2, cette instance doit être enregistrée comme une instance gérée par SSM. Pour garantir cela pour toutes les instances d’un compte, il est recommandé d’activer la configuration par défaut de la gestion des hôtes (DHMC), qui enregistre automatiquement chaque instance EC2 d’un compte et d’une région sans nécessiter de profil d’instance spécialisé IAM pour chacune d’entre elles.
DHMC peut être activé par région dans la console d’AWS sous Gestionnaire des systèmes > Gestionnaire de flotte > Gestion des comptes ou à l’échelle de l’organisation à l’aide de la configuration rapide SSM. Consultez la documentation relative à la DHMC d’AWS pour obtenir plus de détails.
Exigences au niveau de la machine virtuelle
Ces exigences s’appliquent à chaque instance individuelle d’EC2. Une fois la configuration au niveau du compte effectuée, le produit de protection ne peut être déployé sur une instance que si celle-ci remplit toutes les conditions suivantes.
•L’instance EC2 doit avoir un accès Internet sortant
Chaque instance EC2 ciblée pour le déploiement de la protection doit avoir un accès Internet sortant. Dans les sous-réseaux privés sans passerelle NAT, l’accès Internet sortant doit être configuré avant que la protection puisse être déployée.
•SSM Agent doit être installé et en fonctionnement
Le AWS SSM communique avec les instances EC2 au moyen de l’agent SSM. La plupart des AMI fournies par AWS (Amazon Linux, Ubuntu Server, Windows Server) incluent l’agent SSM préinstallé. Pour les AMI personnalisées ou tierces, vérifiez que l’agent est installé et fonctionne.
Consultez la documentation de l’agent d’AWS SSM pour obtenir les instructions d’installation et savoir comment vérifier l’état de l’agent sur une instance en cours d’exécution.
Pour que la protection soit déployée efficacement sur les instances EC2 sous Linux dans AWS, le compte ou l’organisation protégé(e) doit avoir activé AWS System Manager, et les instances EC2 doivent disposer de l’agent SSM.
•La machine virtuelle doit exécuter un système d’exploitation pris en charge
CWP ne peut déployer le produit de protection ESET que sur des instances exécutant une distribution du système d’exploitation prise en charge. Pour obtenir la liste complète des distributions de systèmes d’exploitation prises en charge, consultez la référence ci-dessous.
•La machine virtuelle doit répondre aux exigences système du produit de protection
Chaque machine virtuelle ciblée pour le déploiement de la protection doit satisfaire aux exigences matérielles et logicielles minimales du produit de protection ESET.
Windows Server
oProcesseur : Intel ou AMD monocœur x64
oMémoire : 256 Mo de RAM libre
oDisque dur : 700 Mo d’espace disque libre
Linux
oProcesseur : Intel/AMD x64 avec 2 cœurs (vCPU)
oMémoire : 2 Go de RAM
oDisque dur : 700 Mo d’espace disque libre
oGlibc 2.28 ou plus
oNoyau Linux version 4.18 ou ultérieure
oN’importe quel paramètre local d’encodage UTF-8
oLe démarrage sécurisé doit être désactivé |
Configuration de l’intégration dans ESET PROTECT Web Console
Cliquez sur Connecter pour suivre le processus Connecter une intégration :
1.Configuration générale : saisissez le nom, sélectionnez une méthode : AWS Organizations (avec ID d'unité de l'organisation racine) ou compte unique AWS (avec ID du compte), saisissez la description du client et cliquez sur Continuer.
2.Gestion de l'hôte : sélectionnez si la configuration de gestion par défaut de l'hôte est activée dans votre compte AWS.
3.CloudFormation : créez une pile dans AWS (cliquez sur le bouton Lancement dans AWS pour vérifier l'état de la pile ou compléter la configuration), puis sélectionnez Confirmer l'état.
4.Résumé de l'intégration : consultez le résumé de l'intégration avec vos paramètres (Nom, Méthode, ID du compte, Bac ESET CWP S3, Description du client) et cliquez sur Terminer.
|
|
Lorsqu'une intégration est terminée (État : Actif), vous pouvez afficher les machines virtuelles synchronisées dans l'Intégration dans Ordinateurs > Arborescence des entreprises > Organisation sélectionnée (groupe statique).
|
Déploiement
Exigences système et systèmes d’exploitation pris en charge
Vous pouvez déployer la protection ESET sur des machines virtuelles qui répondent aux exigences système pour l’installation de l’application de sécurité ESET :
•ESET Server Security for Windows (machines virtuelles Windows)
•ESET Server Security for Linux (machines virtuelles Linux)
Déploiement automatique
Par défaut, le déploiement automatique est désactivé. Vous pouvez définir le comportement d'ESET Cloud Workload Protection sur les machines virtuelles intégrées à partir de vos environnements infonuagiques connectés dans la section Configuration.
Si cette option est activée, le système vérifie toutes les 15 minutes s’il existe une machine virtuelle appropriée dans le groupe spécifié (cible) pour lancer le déploiement. Si oui, l’agent ESET Management, puis un produit de sécurité seront installés sur la machine virtuelle quelques minutes plus tard.
Le journal de vérification contient des informations sur le démarrage du déploiement.
Déploiement manuel
Sélectionnez les ordinateurs sur lesquels activer le produit de sécurité ESET. Un abonnement sera attribué automatiquement.
1.Accédez à Ordinateurs >, sélectionnez Entreprise (groupe statique) > liste des machines virtuelles.
2.Sélectionnez la machine virtuelle > cliquez sur le bouton avec les trois points 
> sélectionnez les modules de plateforme > cliquez sur Activer l'application de sécurité ESET Security pour le nuage.
3.Sélectionner les cibles.
4.Sélectionnez l'option servant à accepter les Documents juridiques et cliquez sur Activer.
