ESET Cloud Workload Protection—Microsoft Azure, Amazon Web Services Google Cloud Platform, glavne značajke
•Omogućuje vidljivost i zaštitu radnih opterećenja u oblaku sinkronizacijom virtualnih računala organiziranih u grupe resursa.
•Omogućuje instalaciju sigurnosne zaštite na radne zadatke, ručno ili automatski, za novokreirane instance.
•Pruža sigurnosne indikatore na razini krajnjih točaka iz zaštićenih radnih opterećenja, proširujući vidljivost prijetnji u cloud okruženjima.
•Pruža prošireni kontekst elementa u Incidentima i podržava akcije odgovora na zaštićenim računalima.
•Prima više cloud indikatora i telemetrije, proširujući vidljivost aktivnosti u cloud okruženju.
Kako omogućiti integraciju
Preduvjeti
Pregledajte i ispunite sve preduvjete koji se odnose na vaš odabrani put prije nego što započnete instalaciju predloška CloudFormation.
Ovi zahtjevi vrijede bez obzira koji predložak odaberete.
Račun je u AWS standardnoj particiji
Podržane su samo AWS organizacije i računi u standardnoj AWS komercijalnoj particiji. Računi u drugim particijama (kao što AWS je GovCloud AWS ili Kina) nisu podržani.
AWS Dozvole računa
AWS Principal IAM (korisnik ili uloga) koji koristite za implementaciju CloudFormation stoga mora imati dovoljno dozvola za stvaranje svih resursa koje predložak pruža.
Opseg potrebnih dozvola: AdministratorAccess, ili prilagođena politika koja omogućuje kreiranje:
•IAM Uloge i upravljane politike
•S3 Buckets i bucket politike
•CloudTrail Staze
•Lambda funkcije (pozivane kao CloudFormation prilagođeni resursi)
•CloudFormation stogovi i StackSets
Ako niste sigurni jesu li vaše kvalifikacije dovoljne, provjerite s AWS administratorom prije nego što nastavite.
Stack implementirajte samo jednom po računu/organizaciji
Svaki predložak stvara resurse s fiksnim imenima (na primjer, CwppServiceRole). Implementacija drugog stacka na istom računu neće uspjeti zbog greške da resurs već postoji. Ako prethodna instalacija nije uspjela ili je potrebno ponovno napraviti, prvo izbrišite postojeći CloudFormation sloj.
AWS regija s podrškom CloudTrail
Postavite stack u AWS regiju koja podržava CloudTrail višeregionalne staze. Sve AWS standardne komercijalne regije ispunjavaju uvjete. GovCloud a kineske regije nisu podržane.
|
|
EC2 instance moraju imati instaliran i pokrenut SSM Agent (predinstaliran je na većini AWSdostupnih AMI-jeva) na svakoj instanci gdje planirate implementirati ESET zaštitni proizvod. DHMC omogućuje automatsko upravljanje, ali ne instalira SSM agenta. Ovaj zahtjev također se može aktivirati kasnije i nije obavezan prije uvođenja u posao.
|
|
Ovi dodatni zahtjevi primjenjuju se pri korištenju bilo kojeg predloška organizacije.
Implementacija s upravljačkog računa
Predlošci organizacije moraju se implementirati dok ste prijavljeni na AWS vaš račun za upravljanje organizacijom. Ne možete koristiti račun člana za ovu instalaciju.
Pronađite ID jedinice root organizacije
Tijekom instalacije od vas će se tražiti ID vaše root organizacijske jedinice, koji se koristi za implementaciju StackSets na sve račune. Da biste je pronašli:
1.Otvorite AWS konzolu Organizacija.
2.Kliknite na unos Root na vrhu organizacijskog stabla.
3.Kopirajte ID—ima format r-xxxx.
Za detaljne upute pogledajte AWS dokumentaciju o snalaženju u hijerarhiji vaše organizacije.
Dozvola za aktivaciju CloudFormation – Povjerljivi pristup organizacija
Predložak automatski aktivira pouzdan pristup između CloudFormation AWS i organizacija (putem prilagođenog resursa Lambda). Principal koji implementira mora imati dopuštenje pozivati cloudformation:ActivateOrganizationsAccess. Ovo je uključeno u AdministratorAccess. Ako koristite ograničeni skup dopuštenja, osigurajte da je ova radnja eksplicitno dopuštena.
|
Ovi dodatni zahtjevi vrijede pri korištenju bilo koje DHMC varijante predloška.
Nema sukobljene zadane konfiguracije upravljanja hostom (DHMC)
Ako ste prethodno koristili AWS SSM Quick Setup za konfiguraciju DHMC-a, čak i djelomično, ne možete koristiti organizacijsko onboarding s DHMC postavkama. Te dvije konfiguracije će se sukobljavati. U tom slučaju:
1.Koristite onboarding organizacije izvan DHMC-a.
2.U vašoj postojećoj SSM Quick Setup konfiguraciji, osigurajte da je DHMC aktivan na svim računima članova i u svim regijama gdje CWP će biti implementiran.
Dozvole za brzu postavku SSM-a
Osim osnovnih organizacijskih dozvola, princip implementacije treba:
•ssm-quicksetup:UpdateServiceSettings
•organizacije:EnableAWSServiceAccess
•Dozvola za kreiranje uloga povezanih sa servisima
Sve su one uključene u AdministratorAccess. Predložak stvara predložak Lambda koji automatski izvršava te korake, ne morate ručno pokretati nikakve naredbe.
|
Omogućavanje VM (EC2 instance) zaštite u CWP instancama AWS EC2 uključuje dvije razine zahtjeva. Instanca EC2 se prvo mora registrirati kao SSM-upravljana instanca (postavka na razini računa), a zatim svaka pojedinačna instanca mora zadovoljiti zahtjeve na razini VM-a prije nego što se zaštitni proizvod može instalirati na nju. CWP Ostale funkcionalnosti rade na računima koji ne ispunjavaju ove preduvjete.
Preduvjeti za projekte
Ovi zahtjevi vrijede na AWS razini računa. CWP automatski ih konfigurira tijekom uvođenja kada se koristi varijanta DHMC predloška. Za račune kod kojih DHMC nije bio postavljen tijekom onboardinga (ili prije), ti se koraci moraju ručno dovršiti prije nego što se može omogućiti zaštita VM-a.
•EC2 instanca mora biti instanca kojom upravlja SSM
CWP implementira ESET zaštitni proizvod putem AWS Systems Managera (SSM). Da bi SSM dosegao instancu EC2, ta instanca mora biti registrirana kao instanca kojom upravlja SSM. Preporučeni način da se to osigura za sve instance u računu je omogućiti Default Host Management Configuration (DHMC), koji automatski registrira svaku EC2 instancu u računu i regiji bez potrebe za zasebnim IAM profilom instance za svaku instancu.
DHMC se može omogućiti po regijama u AWS konzoli pod Systems Manager >, Fleet Manager >, Account management, ili na razini cijele organizacije putem SSM Quick Setup. Pogledajte AWS DHMC dokumentaciju za detalje.
Zahtjevi na razini VM-a
Ovi zahtjevi vrijede za svaku pojedinu EC2 instancu. Kada je postavka na razini računa uspostavljena, zaštitni proizvod može se implementirati na instancu samo ako ispunjava sve sljedeće uvjete.
•EC2 Instanca mora imati izlazni pristup internetu
Svaka EC2 instanca namijenjena za zaštitnu instalaciju mora imati izlazni pristup internetu. Instance u privatnim podmrežama bez gatewaya NAT, izlazni pristup internetu mora biti konfiguriran prije nego što se zaštita može implementirati.
•SSM Agent mora biti instaliran i pokrenut
AWS SSM komunicira s EC2 instancama putem SSM agenta. Većina AWS-dostupnih AMI-jeva (Amazon Linux, Ubuntu Server, Windows Server) uključuje unaprijed instaliranog SSM agenta. Za prilagođene ili treće strane AMI-je, provjerite je li agent instaliran i pokrenut.
Pogledajte AWS dokumentaciju SSM Agenta za upute za instalaciju i kako provjeriti status agenta na aktivnoj instanci.
Da bi se funkcionalno instalirala zaštita na EC2 instance za Linux u AWS-u, zaštićeni račun ili organizacija mora imati omogućen AWS System Manager, a EC2 instance moraju imati instaliranog SSM agenta.
•VM mora pokretati podržani operativni sustav
CWP može implementirati zaštitni proizvod samo ESET na instancama koje koriste podržanu distribuciju operativnog sustava. Za potpuni popis podržanih distribucija OS-a, pogledajte referencu u nastavku.
•VM mora zadovoljiti zahtjeve sustava zaštitnog proizvoda
Svaki VM namijenjen za zaštitnu instalaciju mora zadovoljiti minimalne hardverske i softverske zahtjeve za ESET zaštitni proizvod.
Windows Server
oProcesor: Intel ili AMD jednojezgreni x64
oMemorija: 256 MB slobodne RAM memorije
oTvrdi disk: 700 MB slobodnog prostora na disku
Linux
oProcesor: Intel/AMD x64 s 2 jezgre (vCPU)
oMemorija: 2 GB RAM-a
oTvrdi disk: 700 MB slobodnog prostora na disku
oGlibc 2.28 ili noviji
oLinux kernel verzija 4.18 ili novija
oBilo koja lokacija kodiranja UTF-8
oSecure Boot mora biti onemogućen |
Postavljanje integracije u Web Consoleu ESET PROTECT
Kliknite Poveži kako biste prošli kroz proces integracije povezivanja:
1.Opća postavka – upišite Naziv, odaberite metodu: AWS Organizacije (s ID-om jedinice temeljne organizacije) ili AWS jednostrukim računom (s ID-om računa),upišite Opis klijenta i kliknite Nastavi.
2.Upravljanje serverom –daberite je li zadana konfiguracija upravljanja hostom omogućena na vašem AWS računu.
3.CloudFormation –kreirajte stack u AWS-u (kliknite gumb Pokreni u AWS-u za provjeru statusa stacka ili dovršetak postavljanja) i zatim odaberite Potvrdi status.
4.Sažetak integracije –pregledajte Sažetak integracije s vašim postavkama (Naziv, Metoda, ID računa, ESET CWP S3 Bucket, Opis klijenta) i kliknite Završi.
|
|
Kada je integracija završena (Status: Aktivno), virtualna računala možete vidjeti sinkronizirane u Integraciji u odjeljku Računala > Stablo tvrtki > odabrana organizacija (statička grupa).
|
Instalacija
Podržani sistemski zahtjevi i operativni sustavi
ESET zaštitu možete implementirati na virtualna računala koja zadovoljavaju sistemske zahtjeve za instalaciju ESET sigurnosne aplikacije:
•ESET Server Security for Windows (Windows VM-ovi)
•ESET Server Security for Linux (Linux VM-ovi)
Automatska instalacija
Po zadanim postavkama, automatska instalacija je isključena. Možete definirati kako ESET Cloud Workload Protection se ponaša na virtualnim računalima integriranim iz vaših povezanih cloud okruženja u odjeljku Konfiguracija.
Ako je konfigurirana, svakih 15 minuta provjerava se postoji li u određenoj grupi (cilju) kvalificirano virtualno računalo za početak instalacije. Ako da, Agent ESET Management, a zatim sigurnosni program bit će instalirani na virtualnom računalu nakon nekoliko minuta.
Dnevnik provjere sadrži informacije o pokretanju instalacije.
Ručna instalacija
Odaberite računala na kojima želite omogućiti ESET sigurnosni program. Pretplata će biti dodijeljena automatski.
1.Idite na Računala > odaberite Tvrtka (statička grupa) > popis virtualnih računala.
2.Odaberite virtualno računalo > kliknite gumb s tri točke 
> odaberite Moduli platforme kliknite Omogući ESET sigurnosnu aplikaciju za cloud.
3.Odaberite ciljeve.
4.Odaberite za potvrdu pravnih dokumenata i kliknite Aktiviraj.
