Google Cloud Platform >

Ces conditions s'appliquent quel que soit le niveau de protection que vous choisissez.

Compte Google avec des autorisations IAM suffisantes

Le compte Google avec lequel vous vous authentifiez lors de l'utilisation de l'Assistant d'intégration doit disposer des autorisations IAM nécessaires pour créer et configurer les ressources suivantes en votre nom :

•Nouveau projet GCP (le projet de gestion CWP)

•Compte de service dans ce projet

•Liaisons de rôle IAM au sein de votre organisation ou vos projets

•Modifications des politiques de l'organisation (en cas d'intégration au niveau de l'organisation)

Le moyen le plus simple d'y parvenir consiste à utiliser un compte disposant du rôle d'administrateur d’organisation (roles/resourcemanager.organizationAdmin) au niveau de l'organisation. Ce rôle permet de créer des projets au sein de l'organisation, de gérer les politiques IAM de l'organisation et de ses projets, et d'administrer les politiques au niveau de l'organisation.

Quota de création de projets suffisant dans votre organisation GCP

GCP impose une limite au nombre de projets pouvant exister au sein de votre organisation. CWP doit créer le projet de gestion ESET Cloud Workload Protection lors de l'intégration. Si le quota de création de projets de votre organisation est épuisé, cette étape échouera et l'intégration ne pourra pas être effectuée. Avant de lancer l'intégration, vérifiez que votre organisation dispose d'au moins un emplacement de projet disponible.

Ces exigences supplémentaires s'appliquent lorsque vous sélectionnez la protection au niveau de l'organisation.

Comprendre la modification de la politique de l'organisation

Lors de l'intégration, CWP modifie deux politiques d'organisation dans votre organisation GCP :

•iam.allowedPolicyMemberDomains : l'identifiant client Google Workspace d'ESET est ajouté à la liste des domaines autorisés à faire partie des politiques IAM.

•iam.managed.allowedPolicyMembers : l'ensemble des principaux d'organisation d'ESET est ajouté à la liste des principaux autorisés à être des membres IAM étendus.

Ces modifications s’ajoutent : CWP ne supprime ni ne remplace les entrées de politique existantes. Si les contraintes sont déjà configurées pour autoriser tout (*) ou si elles n'existent pas dans votre organisation, cette étape n'a aucun effet.

Le déploiement de la protection des machines virtuelles dans CWP implique deux niveaux d'exigences :

•Tout d'abord, le projet GCP doit remplir un ensemble de conditions préalables au niveau du projet avant que la protection des machines virtuelles puisse être déployée, que ce soit automatiquement lors de l'intégration ou manuellement par la suite.

•Deuxièmement, chaque instance Compute Engine doit répondre aux exigences au niveau de la machine virtuelle avant que le produit de protection puisse y être installé. D'autres fonctionnalités CWP fonctionnent sur les projets qui ne remplissent pas ces conditions préalables.

Conditions préalables pour un projet

Ces exigences s'appliquent au niveau du projet GCP. CWP les configure automatiquement lors de l’intégration lorsque toutes les conditions sont remplies. Pour les projets qui ne satisfont pas à ces exigences au moment de la configuration initiale ou pour ceux ajoutés ultérieurement dans le cadre d'une intégration au niveau de l'organisation, la configuration est ignorée et doit être effectuée manuellement avant que la protection des machines virtuelles puisse être activée pour ce projet.

•La facturation est activée

GCP exige que la facturation soit active sur un projet avant que OS Config API puisse être activé. Si la facturation n'est pas activée lors de l'intégration d'un projet,CWP ne peut pas configurer les conditions préalables nécessaires au déploiement de la protection des machines virtuelles.

Pour déployer la protection sur les instances de machine virtuelle GCP des projets qui n'existaient pas au moment de l'intégration ou pour lesquels la facturation n'était pas activée, les éléments suivants doivent être configurés manuellement :

1. Activez les API requises :

oOS Config API (osconfig.googleapis.com)

oVérifiez que la facturation est activée sur le projet

2.Configurez les métadonnées du projet :

oDéfinissez enable-osconfig sur TRUE

oDéfinissez enable-guest-attributes sur TRUE

oDéfinissez enable-oslogin sur TRUE

3.Activez toutes les fonctionnalités dans VM Manager :

oDans la console GCP, accédez à VM Manager > Paramètres du projet éfinissez l'ensemble de fonctionnalités de correctifs et de configuration sur « Complet » (OSCONFIG_C)

•L'API Compute Engine doit être activé sur les projets cibles

CWP active automatiquement l'API osconfig.googleapis.com dans vos projets. Toutefois, l'activation d'OS Config nécessite également que l'API Compute Engine (compute.googleapis.com) soit déjà active dans le projet cible (elle est activée automatiquement lors de la première utilisation de Compute Engine dans un projet). Pour les projets qui n'ont jamais utilisé Compute Engine et pour lesquels la facturation n'est pas activée, la configuration de VM Manager sera automatiquement ignorée.

•OS Config API doit être activé sur les projets cibles

CWP active automatiquement OS Config API (osconfig.googleapis.com) lors de l’intégration initiale lorsque toutes les conditions préalables sont remplies. Pour les projets qui ne remplissent pas ces conditions préalables, la configuration pendant l'intégration est ignorée.

•VM Manager doit être configuré

VM Manager est configuré pour tous les projets pendant l'intégration. Si les conditions préalables requises ne sont pas remplies, la configuration est ignorée pour ce projet. Consultez la documentation de VM Manager pour plus de détails sur la configuration manuelle.

•Quota d'affectations de politiques de système d'exploitation suffisant dans les régions cibles du projet

CWP déploie la protection des machines virtuelles à l'aide des affectations de politiques de système d'exploitation OS Config GCP. GCP impose un quota sur le nombre d'affectations de politiques de système d'exploitation par projet et par région.

Si ce quota est épuisé dans une région donnée, CWP ne peut pas y créer une nouvelle affectation de politiques de système d'exploitation, et la protection des machines virtuelles ne peut pas être déployée sur les instances de cette région tant qu'une affectation existante n'a pas été supprimée. Ce quota est évalué séparément pour chaque région. Le fait qu'un quota soit épuisé dans une région n'a aucune incidence sur les autres régions.

Exigences au niveau de la machine virtuelle

Ces exigences s'appliquent à chaque instance Compute Engine. Lorsque la protection des machines virtuelles est activée pour un projet, le produit de protection peut être déployé sur une machine virtuelle que s'il remplit toutes les conditions suivantes. Celles-ci peuvent être vérifiées et prises en compte à tout moment, y compris une fois que les conditions préalables à l'intégration et au niveau du projet sont déjà remplies.

•L'instance de Compute Engine doit avoir un accès réseau

Chaque instance Compute Engine devant bénéficier du déploiement de la protection doit disposer d'un accès à Internet pour permettre l'installation du produit de protection ESET.

•Google Cloud VM Manager doit être compatible avec vos images de machine virtuelle

CWP active GCP VM Manager (OS Config) sur vos projets. VM Manager communique avec les machines virtuelles via l'agent OS Config, qui est préinstallé sur toutes les images de système d'exploitation standard fournies par GCP (Debian, Ubuntu, CentOS, RHEL, Rocky Linux, Windows Server et autres). Les machines virtuelles exécutant des images personnalisées qui n'incluent pas l'agent OS Config seront pas accessibles par CWP pour le déploiement de la protection.

Vérifiez si l'agent OS config est installé sur la machine virtuelle : Documentation GCP

•La machine virtuelle doit exécuter un système d'exploitation pris en charge

CWP ne peut déployer le produit de protection ESET que sur des machines virtuelles exécutant une distribution de système d'exploitation prise en charge. Consultez ci-dessous les distributions de système d'exploitation prises en charge.

•La machine virtuelle doit répondre à la configuration système requise du produit de protection

Chaque machine virtuelle ciblée pour le déploiement de la protection doit répondre à la configuration matérielle et logicielle minimale requise pour le produit de protection ESET.

Windows Server

oProcesseur : Monocœur Intel ou AMD x64

oEspace de stockage : 256 Mo de mémoire RAM disponible

oDisque dur : 700 Mo d'espace disque disponible

Linux

oProcesseur : Intel/AMD x64 avec 2 cœurs (vCPU)

oEspace de stockage : 2 Go de RAM

oDisque dur : 700 Mo d'espace disque disponible

oGlibc 2.28 ou version ultérieure

oNoyau Linux version 4.18 ou ultérieure

oTout paramètre régional de codage UTF-8

oLe démarrage sécurisé doit être désactivé