Google Cloud Platform >

Ces exigences s’appliquent, peu importe l’étendue de la protection que vous choisissez.

Un compte Google doté d’autorisations IAM suffisantes

Le compte Google avec lequel vous vous authentifiez pendant la procédure d’intégration doit disposer des autorisations IAM pour créer et configurer les ressources suivantes en votre nom :

•Un nouveau projet GCP (le projet de gestion CWP)

•Un compte de service dans ce projet

•Liaisons de rôles IAM au sein de votre organisation ou de vos projets

•Modifications des politiques organisationnelles (si elles sont intégrées au niveau de l’organisation)

La manière la plus simple de répondre à cette exigence consiste à utiliser un compte disposant du rôle d’administrateur d’organisation (roles/resourcemanager.organizationAdmin) au niveau de l’organisation. Ce rôle permet de créer des projets sous l’organisation, de gérer les politiques sur IAM l’organisation et ses projets, et d’administrer les politiques au niveau de l’organisation.

Un quota suffisant de création de projets dans votre organisation GCP

GCP impose une limite au nombre de projets pouvant exister au sein de votre organisation. CWP doit créer le projet de gestion ESET Cloud Workload Protection lors de l’intégration. Si le quota de création de projets de votre organisation est épuisé, cette étape échouera et l’intégration ne pourra pas être menée à bien. Avant de lancer l’intégration, vérifiez que votre organisation dispose d’au moins un emplacement de projet disponible.

Ces exigences supplémentaires s’appliquent lorsque vous sélectionnez la protection au niveau de l’organisation.

Comprendre la modification de la politique organisationnelle

Lors de l’intégration, CWP modifie deux politiques organisationnelles dans votre organisation GCP :

•iam.allowedPolicyMemberDomains; l’identifiant client Google Workspace d’ESET est ajouté à la liste des domaines autorisés à faire partie des politiques IAM.

•iam.managed.allowedPolicyMembers; l’ensemble de principes d’organisation d’ESET est ajouté à la liste des principes autorisés à être étendus aux membres d’IAM.

Ces modifications s’ajoutent aux existantes; CWP ne supprime ni ne remplace les entrées de stratégie existantes. Si les contraintes sont déjà configurées pour autoriser tout (*), ou si elles n’existent pas dans votre organisation, cette étape n’a aucun effet.

Le déploiement de la protection des machines virtuelles dans CWP implique deux niveaux d’exigences :

•Premièrement, le projet GCP doit répondre à un ensemble de prérequis au niveau du projet avant que la protection des machines virtuelles puisse être déployée, soit automatiquement lors de l’intégration, soit manuellement par la suite.

•Deuxièmement, chaque instance du moteur de calcul doit répondre aux exigences au niveau de la machine virtuelle avant que le produit de protection puisse y être installé. D’autres fonctionnalités CWP fonctionnent sur des projets qui ne répondent pas à ces prérequis.

Prérequis du projet

Ces exigences s’appliquent au niveau du projet pour GCP. CWP les configure automatiquement lors de l’intégration lorsque toutes les conditions sont remplies. Pour les projets qui ne répondent pas à ces critères lors de leur intégration initiale ou pour ceux ajoutés ultérieurement dans le cadre d’une intégration au niveau de l’organisation, la configuration est ignorée et doit être effectuée manuellement avant que la protection des machines virtuelles puisse être activée pour ce projet.

•La facturation est activée

GCP exige que la facturation soit activée sur un projet avant que OS Config API puisse être activée. Si la facturation n’est pas activée lors de la configuration initiale d’un projet, CWP ne peut pas configurer les conditions préalables nécessaires au déploiement de la protection des machines virtuelles.

Pour déployer la protection sur les instances de machine virtuelle GCP des projets qui n’existaient pas au moment de l’intégration ou pour lesquels la facturation n’était pas activée, les éléments suivants doivent être configurés manuellement.

1. Activez les API requises :

oAPI de configuration du système d’exploitation (osconfig.googleapis.com)

oAssurez-vous que la facturation est activée sur le projet

2.Configurez les métadonnées du projet :

oDéfinissez enable-osconfig sur TRUE

oDéfinissez enable-guest-attributes sur TRUE

oDéfinissez enable-oslogin sur TRUE

3.Activez toutes les fonctionnalités dans Gestionnaire de MV :

oDans la console GCP, allez dans Gestionnaire de MV > Paramètre du projet et définissez l’ensemble de fonctionnalités de correctifs et de configuration sur « Full » (OSCONFIG_C)

•L’API du moteur de calcul doit être activé sur les projets cibles

CWP active automatiquement l’API de osconfig.googleapis.com dans vos projets. Cependant, l’activation de OS Config nécessite aussi que l’API du moteur de calcul (compute.googleapis.com) soit déjà active dans le projet cible (l’activation se fait automatiquement la première fois que vous utilisez le moteur de calcul dans un projet). Pour les projets qui n’ont jamais utilisé le moteur de calcul et dont la facturation n’est pas activée, la configuration de Gestionnaire de MV sera automatiquement ignorée.

•OS Config API doit être activé sur les projets ciblés

CWP active automatiquement OS Config API (osconfig.googleapis.com) lors de l’intégration lorsque tous les prérequis sont remplis. Pour les projets qui ne remplissent pas ces conditions préalables, la configuration lors de l’intégration est ignorée.

•Gestionnaire de MV doit être configuré

Gestionnaire de MV est configuré pour tous les projets lors de l’intégration. Si les conditions préalables requises ne sont pas remplies, la configuration est ignorée pour ce projet. Consultez la documentation du gestionnaire de machines virtuelles pour les détails sur la configuration manuelle.

•Quota d’attribution de politiques du système d’exploitation suffisant dans les régions cibles du projet

CWP déploie la protection des machines virtuelles à l’aide des attributions de politiques du système d’exploitation dans GCP OS Config. GCP applique un quota sur le nombre d’attributions de politiques du système d’exploitation par projet et par région.

Si ce quota est épuisé dans une région donnée, CWP ne peut pas y créer une nouvelle attribution de politique de système d’exploitation, et la protection des machines virtuelles ne peut pas être déployée sur les instances de cette région tant qu’une attribution existante n’a pas été supprimée. Ce quota est évalué indépendamment pour chaque région. Un quota épuisé dans une région n’affecte pas les autres régions.

Exigences au niveau de la machine virtuelle

Ces exigences s’appliquent à chaque instance individuelle du moteur de calcul. Lorsque la protection des machines virtuelles est activée pour un projet, le produit de protection ne peut être déployé sur une machine virtuelle que s’il répond à tous les critères suivants. Celles-ci peuvent être vérifiées et traitées à tout moment, y compris après que les prérequis d’intégration et de projet soient déjà en place.

•L’instance du moteur de calcul doit avoir un accès réseau

Chaque instance du moteur de calcul ciblée pour le déploiement de protection doit avoir un accès Internet pour permettre l’installation du produit de protection ESET.

•Google Cloud VM Manager doit être compatible avec vos images de machine virtuelle

CWP active Gestionnaire de MV GCP (OS Config) sur vos projets. Gestionnaire de MV communique avec les MV via l’agent OS Config, qui est préinstallé sur toutes les images standard du système d’exploitation fournies par GCP(Debian, Ubuntu, CentOS, RHEL, Rocky Linux, Windows Server et les autres). Les machines virtuelles exécutant des images personnalisées qui n’incluent pas l’agent OS Config ne seront pas joignables par CWP pour le déploiement de la protection.

Vérifiez si l’agent OS config est installé sur la MV : documentation de GCP

•La machine virtuelle doit exécuter un système d’exploitation pris en charge

CWP ne peut déployer le produit de protection ESET que sur des machines virtuelles exécutant une distribution de système d’exploitation prise en charge. Consultez la liste des distributions de systèmes d’exploitation prises en charge ci-dessous.

•La machine virtuelle doit répondre aux exigences système du produit de protection

Chaque machine virtuelle ciblée pour le déploiement de la protection doit satisfaire aux exigences matérielles et logicielles minimales du produit de protection ESET.

Windows Server

oProcesseur : Intel ou AMD monocœur x64

oMémoire : 256 Mo de RAM libre

oDisque dur : 700 Mo d’espace disque libre

Linux

oProcesseur : Intel/AMD x64 avec 2 cœurs (vCPU)

oMémoire : 2 Go de RAM

oDisque dur : 700 Mo d’espace disque libre

oGlibc 2.28 ou plus

oNoyau Linux version 4.18 ou ultérieure

oN’importe quel paramètre local d’encodage UTF-8

oLe démarrage sécurisé doit être désactivé