ESET Cloud Workload Protection : principales fonctionnalités de Microsoft Azure, Amazon Web Services, Google Cloud Platform
•Permet d'assurer la visibilité et la protection des charges de travail dans le cloud en synchronisant les machines virtuelles organisées en groupes de ressources.
•Permet de déployer une protection sur les charges de travail, manuellement ou automatiquement, pour les instances nouvellement créées.
•Fournit des indicateurs de sécurité au niveau des endpoints à partir des charges de travail protégées, ce qui améliore la visibilité sur les menaces dans les environnements cloud.
•Fournit un contexte étendu des ressources dans Incidents et prend en charge les mesures d'intervention sur les machines protégées.
•Intègre davantage d'indicateurs et de données de télémétrie liés au cloud, ce qui améliore la visibilité sur l'activité de l'environnement cloud.
Comment activer l'intégration
Conditions préalables requises :
Vérifiez et remplissez toutes les conditions préalables qui s'appliquent au parcours que vous avez choisi avant de lancer le déploiement du modèle CloudFormation.
Ces conditions s'appliquent quel que soit le modèle que vous choisissez.
Le compte se trouve dans la partition AWS standard
Seuls AWS Organizations et les comptes de la partition commerciale AWS standard sont pris en charge. Les comptes situés dans d'autres partitions (par exemple AWS GovCloud AWS Chine) ne sont pas pris en charge.
Autorisations du compte AWS
Le principal IAM AWS (utilisateur ou rôle) que vous utilisez pour déployer la pile CloudFormation doit disposer d'autorisations suffisantes pour créer toutes les ressources provisionnées par le modèle.
Étendue des autorisations requises : AdministratorAccess ou une politique personnalisée qui permet de créer les éléments suivants :
•Rôles et politiques gérées IAM
•Compartiments et politiques de compartiment S3
•Pistes CloudTrail
•Fonctions Lambda (invoquées en tant que ressources personnalisées CloudFormation)
•Piles CloudFormation et StackSets
Si vous n'êtes pas certain que vos identifiants soient valides, veuillez vérifier auprès de votre administrateur AWS avant de continuer.
Déployer la pile une seule fois par compte/organisation
Chaque modèle crée des ressources avec des noms fixes (par exemple, CwppServiceRole). Le déploiement d'une deuxième pile dans le même compte échouera avec une erreur en raison « resource-already-exists ». Si un déploiement précédent a échoué ou doit être réeffectué, supprimez d'abord la pile CloudFormation existante.
Région AWS avec CloudTrail pris en charge
Déployez la pile dans une région AWS qui prend en charge les pistes CloudTrail multirégionales. Toutes les régions commerciales standard AWS sont éligibles. Les régions GovCloud et Chine ne sont pas prises en charge.
|
|
L'agent SSM doit être installé et en cours d'exécution pour les instances EC2 (il est préinstallé sur la plupart des AMI fournis par AWS) sur toutes les instances où vous prévoyez de déployer le produit de protection ESET. DHMC active la gestion automatique, mais n'installe pas l'agent SSM. Cette exigence peut également être activée ultérieurement et n'est pas obligatoire avant l'intégration.
|
|
Ces exigences supplémentaires s'appliquent quel que soit le modèle d'organisation utilisé.
Déployer à partir du compte de gestion
Les modèles d'organisation doivent être déployés lorsque vous êtes connecté à votre compte de gestion AWS Organizations. Vous ne pouvez pas utiliser de compte de membre pour ce déploiement.
Trouver l'ID de l'unité organisationnelle racine
Pendant le déploiement, vous serez invité à fournir l'ID de l'unité organisationnelle racine, qui est utilisé pour déployer StackSets sur tous les comptes. Pour le trouver :
1.Ouvrez la console AWS Organizations.
2.Cliquez sur l'entrée Racine en haut de l'arborescence organisationnelle.
3.Copiez l'ID dont le format est r-xxxx.
Pour obtenir des instructions détaillées, consultez la documentation AWS sur la navigation dans la hiérarchie de votre organisation.
Autorisation d'activer CloudFormation : accès approuvé aux organisations
Le modèle active automatiquement l'accès approuvé entre CloudFormation et AWS Organizations (via une ressource personnalisée Lambda). Le principal de déploiement doit être autorisé à appeler cloudformation:ActivateOrganizationsAccess. Cela est inclus dans AdministratorAccess. Si vous utilisez un jeu d'autorisations limité, vérifiez que cette action est explicitement autorisée.
|
Ces exigences supplémentaires s'appliquent quelle que soit la variante du modèle DHMC utilisée.
Aucun conflit dans la configuration par défaut de gestion des hôtes (DHMC)
Si vous avez déjà utilisé AWS SSM Quick Setup pour configurer DHMC, même partiellement, vous ne pouvez pas utiliser la procédure d'intégration à l'échelle de l'organisation avec la configuration DHMC. Les deux configurations sont en conflit. Dans ce cas :
1.Utilisez l'intégration d'organisation non-DHMC.
2.Dans votre configuration SSM Quick Setup existante, vérifiez que DHMC est actif dans tous les comptes de membres et toutes les régions où CWP sera déployé.
Autorisations pour la configuration SSM Quick Setup
Outre les autorisations d'organisation de base, le principal du déploiement doit disposer des autorisations suivantes :
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•Autorisation de créer des rôles liés à un service
Ceux-ci sont tous inclus dans AdministratorAccess. Le modèle crée un Lambda qui effectue ces étapes automatiquement ; vous n'avez pas besoin d'exécuter de commandes manuellement.
|
L'activation de la protection des machines virtuelles (instance EC2) dans CWP pour les instances AWS EC2 implique deux niveaux d'exigences. L'instance EC2 doit d'abord être enregistrée en tant qu'instance gérée par SSM (configuration au niveau du compte), puis chaque instance doit répondre aux exigences au niveau de la machine virtuelle avant que le produit de protection puisse y être installé. D'autres fonctionnalités CWP fonctionnent sur les comptes qui ne remplissent pas ces conditions préalables.
Conditions préalables pour un projet
Ces exigences s'appliquent au niveau du compte AWS. CWP les configure automatiquement lors de l'intégration lorsque la variante du modèle DHMC est utilisée. Pour les comptes pour lesquels DHMC n'a pas été configuré lors de la mise en service (ou avant), ces étapes doivent être effectuées manuellement avant de pouvoir activer la protection des machines virtuelles.
•L'instance EC2 doit être une instance gérée par SSM
CWP déploie le produit de protection ESET par le biais de AWS Systems Manager (SSM). Pour que SSM puisse accéder à une instance EC2, celle-ci doit être enregistrée en tant qu'instance gérée par SSM. La méthode recommandée pour s'en assurer pour toutes les instances d'un compte consiste à activer la configuration de gestion d'hôte par défaut (DHMC), qui enregistre automatiquement chaque instance EC2 d'un compte et d'une région sans nécessiter de profil d'instance IAM dédié sur chaque instance.
DHMC peut être activé par région dans la console AWS sous Systems Manager > Fleet Manager > Account management ou à l'échelle de l'organisation via SSM Quick Setup. Consultez la documentation sur DHMC AWS pour plus de détails.
Configuration requise au niveau de la machine virtuelle
Ces exigences s'appliquent à chaque instance EC2. Une fois la configuration au niveau du compte mise en place, le produit de protection ne peut être déployé sur une instance que si celle-ci remplit toutes les conditions suivantes.
•L'instance EC2 doit disposer d'un accès Internet sortant
Chaque instance EC2 devant bénéficier d'un déploiement de protection doit disposer d'un accès Internet sortant. Pour les instances situées dans des sous-réseaux privés sans passerelle NAT, l'accès Internet sortant doit être configuré avant de pouvoir déployer la protection.
•L'agent SSM doit être installé et en cours d'exécution
AWS SSM communique avec les instances EC2 via l'agent SSM. La plupart des AMI fournis par AWS (Amazon Linux, Ubuntu Server Windows Server) incluent l'agent SSM préinstallé. Pour les AMI personnalisés ou de tiers, vérifiez que l'agent est installé et en cours d'exécution.
Consultez la documentation de l'agent SSM AWS pour obtenir des instructions d'installation et déterminer comment vérifier l'état de l'agent sur une instance en cours d’exécution.
Pour un déploiement fonctionnel de la protection sur les instances EC2 pour Linux dans AWS, AWS System Manager doit être activé pour le compte ou l'organisation protégés et l'agent SSM doit être installé sur les instances EC2.
•La machine virtuelle doit exécuter un système d'exploitation pris en charge
CWP ne peut déployer le produit de protection ESET que sur des instances exécutant une distribution de système d'exploitation prise en charge. Pour obtenir la liste complète des distributions de système d'exploitation prises en charge, consultez la référence ci-dessous.
•La machine virtuelle doit répondre à la configuration système requise du produit de protection
Chaque machine virtuelle ciblée pour le déploiement de la protection doit répondre à la configuration matérielle et logicielle minimale requise pour le produit de protection ESET.
Windows Server
oProcesseur : Monocœur Intel ou AMD x64
oEspace de stockage : 256 Mo de mémoire RAM disponible
oDisque dur : 700 Mo d'espace disque disponible
Linux
oProcesseur : Intel/AMD x64 avec 2 cœurs (vCPU)
oEspace de stockage : 2 Go de RAM
oDisque dur : 700 Mo d'espace disque disponible
oGlibc 2.28 ou version ultérieure
oNoyau Linux version 4.18 ou ultérieure
oTout paramètre régional de codage UTF-8
oLe démarrage sécurisé doit être désactivé |
Configuration de l'intégration dans la console web ESET PROTECT
Cliquez sur Connecter pour effectuer le processus d'intégration :
1.Configuration générale : renseignez le champ Nom, sélectionnez une méthode : Organisations AWS (avec ID de l'unité d'organisation racine) ou Compte AWS unique (avec ID de compte), renseignez le champ Description du client et cliquez sur Continuer.
2.Gestion des hôtes : sélectionnez cette option si la configuration de gestion des hôtes par défaut est activée dans votre compte AWS.
3.CloudFormation : créez une pile dans AWS (cliquez sur le bouton Lancer dans AWS pour vérifier l'état de la pile ou terminer la configuration), puis sélectionnez Confirmer l'état.
4.Résumé de l'intégration : examinez le Résumé de l'intégration avec vos paramètres (Nom, Méthode, ID de compte, Compartiment ESET CWP S3, Description du client) et cliquez sur Terminer.
|
|
Lorsqu'une intégration est terminée (État : Actif), vous pouvez voir les machines virtuelles synchronisées dans l'intégration, dans l'arborescence Ordinateurs > Société, société sélectionnée (groupe statique).
|
Déploiement
Configuration système requise et systèmes d'exploitation pris en charge
Vous pouvez déployer la protection ESET sur des machines virtuelles qui répondent à la configuration requise pour l'installation de l'application de sécurité ESET :
•ESET Server Security for Windows (machines virtuelles Windows)
•ESET Server Security for Linux (machines virtuelles Linux)
Déploiement automatique
Par défaut, le déploiement automatique est désactivé. Vous pouvez définir le comportement d'ESET Cloud Workload Protection sur les machines virtuelles intégrées à partir de vos environnements cloud connectés dans la section Configuration.
Si cette option est configurée, le système vérifie toutes les 15 minutes s'il existe une machine virtuelle éligible dans le groupe spécifié (cible) pour lancer le déploiement. Si c'est le cas, ESET Management Agent, puis un produit de sécurité, seront installés sur la machine virtuelle en quelques minutes.
Le journal de vérification contient des informations sur le début du déploiement.
Déploiement manuel
Sélectionnez les ordinateurs sur lesquels vous souhaitez activer le produit de sécurité ESET. Un abonnement sera attribué automatiquement.
1.Accédez à Ordinateurs, sélectionnez Société (groupe statique), puis la liste des machines virtuelles.
2.Sélectionnez la machine virtuelle, cliquez sur le bouton à trois points
, sélectionnez Modules de plate-forme, puis cliquez sur Activer l'application de sécurité ESET pour le cloud.
3.Sélectionner des cibles.
4.Sélectionnez cette option pour accepter les documents juridiques, puis cliquez sur Activer.
