ESET Cloud Workload Protection—Microsoft Azure、Amazon Web Services、Google Cloud Platformの主な特徴
•リソースグループに編成された仮想マシンを同期することで、クラウドワークロードの可視性と保護を実現します。
•新しく作成されたインスタンスに対して、手動または自動でワークロードにセキュリティ保護を展開できます。
•保護されたワークロードからエンドポイントレベルのセキュリティインジケーターを提供し、クラウド環境全体の脅威の可視性を高めます。
•インシデントに拡張されたアセットコンテキストを提供し、保護されたコンピューターでの対応アクションをサポートします。
•より多くのクラウドインジケーターとテレメトリを取り込み、クラウド環境アクティビティの可視性を拡大します。
統合を有効にする方法
前提条件
CloudFormationテンプレートの展開を開始する前に、選択したパスに適用されるすべての前提条件を確認し、満たしてください。
これらの要件は、選択したテンプレートに関係なく適用されます。
アカウントが標準AWSパーティションにある
標準のAWS商用パーティション内のAWS組織とアカウントのみがサポートされます。他のパーティション(AWS GovCloudやAWS Chinaなど)のアカウントはサポートされていません。
AWSアカウント権限
CloudFormationスタックの展開に使用するAWS IAMプリンシパル(ユーザーまたはロール)には、テンプレートがプロビジョニングするすべてのリソースを作成するために十分なアクセス権限が必要です。
必要な権限の範囲:AdministratorAccess、または以下の作成を許可するカスタムポリシー:
•IAMロールと管理ポリシー
•S3バケットとバケットポリシー
•CloudTrail証跡
•Lambda関数(CloudFormationカスタムリソースとして呼び出されます)
•CloudFormationスタックとStackSets
資格情報が十分かどうかわからない場合は、続行する前にAWS管理者に確認してください。
アカウント/組織ごとに1回だけスタックを展開する
各テンプレートは、固定された名前(CwppServiceRoleなど)を持つリソースを作成します。同じアカウントで2つ目のスタックを展開すると、resource-already-existsエラーで失敗します。前回の展開が失敗した場合、または再実行する必要がある場合は、まず既存のCloudFormationスタックを削除します。
CloudTrailがサポートされているAWSリージョン
マルチリージョンCloudTrail証跡をサポートするAWSリージョンでスタックを展開します。すべての標準商用AWSリージョンが対象となります。GovCloudおよび中国リージョンはサポートされていません。
|
|
EC2インスタンスには、ESET保護製品を展開する予定のインスタンスにSSM Agentがインストールされ、実行されている必要があります(ほとんどのAWS提供のAMIにプリインストールされています)。DHMCは自動管理を有効にしますが、SSM Agentはインストールしません。この要件は後から有効にすることもでき、オンボーディング前の必須要件ではありません。
|
|
これらの追加要件は、いずれかの組織テンプレートを使用する場合に適用されます。
管理アカウントから展開する
組織テンプレートは、AWS組織の管理アカウントにログインした状態で展開する必要があります。この展開にはメンバーアカウントを使用できません。
ルート組織単位IDを見つける
展開中に、ルート組織単位IDの入力を求められます。これは、すべてのアカウントにStackSetsを展開するために使用されます。見つける手順:
1.AWS組織コンソールを開きます。
2.組織ツリーの上部にあるルートエントリをクリックします。
3.IDをコピーします。形式はr-xxxxです。
詳細な手順については、組織の階層のナビゲーションに関するAWSドキュメントを参照してください。
CloudFormationをアクティベーションする権限 - 組織の信頼できるアクセス
テンプレートは、自動的にCloudFormationとAWS組織間の信頼できるアクセスをアクティベーションします(Lambdaカスタムリソース経由)。展開を行うプリンシパルは、cloudformation:ActivateOrganizationsAccessを呼び出すことを許可されている必要があります。これはAdministratorAccessに含まれています。スコープ付き権限セットを使用する場合は、このアクションが明示的に許可されていることを確認してください。
|
これらの追加要件は、いずれかのDHMCテンプレートバリアントを使用する場合に適用されます。
競合する既定のホスト管理設定(DHMC)はありません
以前にAWS SSMクイック設定を使用してDHMCを設定していた場合、部分的であっても、DHMC設定で組織全体のオンボーディングを使用することはできません。2つの設定が競合します。その場合:
1.DHMC以外の組織のオンボーディングを使用します。
2.既存のSSMクイック設定で、DHMCがすべてのメンバーアカウントとCWPが展開されるすべてのリージョンでアクティブであることを確認します。
SSMクイック設定の権限
組織の基本権限に加えて、展開を行うプリンシパルには次のものが必要です。
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•サービスにリンクされたロールを作成する権限
これらはすべてAdministratorAccessに含まれています。テンプレートは、これらの手順を自動的に実行するLambdaを作成するので、コマンドを手動で実行する必要はありません。
|
AWS EC2インスタンスに対してCWPでVM (EC2インスタンス)保護を有効にするには、2つのレベルの要件があります。EC2インスタンスは、最初にSSMマネージドインスタンスとして登録する(アカウントレベルの設定)必要があり、次に、保護製品をインストールするために、個々のインスタンスがVMレベルの要件を満たしている必要があります。その他のCWP機能は、これらの前提条件を満たさないアカウントでも機能します。
プロジェクトの前提条件
これらの要件はAWSアカウントレベルで適用されます。CWPは、DHMCテンプレートバリアントが使用されるとき、オンボーディング中に自動的にそれらを設定します。オンボーディング中(またはそれ以前)にDHMCが設定されていなかったアカウントの場合、VM保護を有効にするには、これらの手順を手動で完了する必要があります。
•EC2インスタンスはSSMマネージドインスタンスである必要があります
CWPは、AWS Systems Manager (SSM)を介してESET保護製品を展開します。SSMがEC2インスタンスに到達するには、そのインスタンスをSSMマネージドインスタンスとして登録する必要があります。アカウント内のすべてのインスタンスでこれを確実に行うために推奨される方法は、各インスタンスに専用のIAMインスタンスプロファイルを必要とすることなく、アカウントとリージョン内のすべてのEC2インスタンスを自動的に登録する既定のホスト管理設定(DHMC)を有効にすることです。
DHMCは、AWSコンソールのSystems Manager > Fleet Manager > アカウント管理でリージョンごとに有効にするか、SSMクイック設定を使用して組織全体で有効にすることができます。詳細については、AWS DHMCドキュメントを参照してください。
VMレベルの要件
これらの要件は、個々のEC2インスタンスに適用されます。アカウントレベルの設定が行われている場合、保護製品は、次のすべてを満たす場合にのみインスタンスに展開できます。
•EC2インスタンスには送信インターネットアクセスが必要です
保護展開の対象となる各EC2インスタンスには、送信インターネットアクセスが必要です。NATゲートウェイのないプライベートサブネット内のインスタンスでは、保護を展開するには、送信インターネットアクセスを設定する必要があります。
•SSM Agentをインストールして実行する必要があります
AWS SSMは、SSM Agentを介してEC2インスタンスと通信します。ほとんどのAWS提供のAMI (Amazon Linux、Ubuntu Server、Windows Server)には、SSM Agentがプリインストールされています。カスタムまたはサードパーティのAMIの場合は、エージェントがインストールされ、実行されていることを確認します。
インストール手順と、実行中のインスタンスでエージェントのステータスを確認する方法については、AWS SSM Agentドキュメントを参照してください。
AWSでLinux用EC2インスタンスへの保護を機能的に展開するには、保護されるアカウントまたは組織はAWS System Managerを有効にし、EC2インスタンスにSSM Agentがインストールされている必要があります。
•VMはサポートされているオペレーティングシステムを実行する必要があります
CWPは、サポートされているOSディストリビューションを実行しているインスタンスにのみESET保護製品を展開できます。サポートされているOSディストリビューションの完全なリストについては、以下のリファレンスを参照してください。
•VMは保護製品のシステム要件を満たす必要があります
保護の展開の対象となる各VMは、ESET保護製品の最小ハードウェアおよびソフトウェア要件を満たしている必要があります。
Windows Server
oプロセッサ:IntelまたはAMDシングルコアx64
oメモリ:256 MBの空きRAM
oハードドライブ:700 MBの空きディスク領域
Linux
oプロセッサ:Intel/AMD x64、2コア(vCPU)
oメモリ:2 GBのRAM
oハードドライブ:700 MBの空きディスク領域
oGlibc 2.28以降
oLinuxカーネルバージョン4.18以降
o任意のUTF-8エンコーディングロケール
oセキュアブートを無効にする必要があります |
ESET PROTECT Webコンソールでの統合設定
接続をクリックして、統合の接続プロセスに進みます。
1.一般的な設定 - 名前を入力し、方法としてAWS組織(ルート組織単位IDあり)またはAWS単一アカウント(アカウントIDあり)を選択し、クライアントの説明を入力して続行をクリックします。
2.ホスト管理 - AWSアカウントで既定のホスト管理設定が有効になっている場合は選択します。
3.CloudFormation - AWSでスタックを作成します(で起動AWSボタンをクリックしてスタックのステータスを確認するか設定を完了します)。その後、ステータスを確認を選択します。
4.統合の概要 - 自分の設定(名前、メソッド、アカウントID、ESET CWP S3バケット、クライアントの説明)を含む統合の概要を確認し、終了をクリックします。
|
|
統合が完了すると(ステータス:アクティブ)、コンピューター > 会社ツリー > 選択した組織(静的グループ)の[統合]で同期された仮想マシンを確認できます。
|
展開
サポートされているシステム要件とオペレーティングシステム
ESET保護は、ESETセキュリティアプリケーションのインストールのシステム要件を満たす仮想マシンに展開できます。
•ESET Server Security for Windows (Windows VM)
•ESET Server Security for Linux (Linux VM)
自動展開
既定では、自動展開はオフになっています。設定セクションでは、接続されたクラウド環境から統合された仮想マシンでのESET Cloud Workload Protectionの動作を定義できます。
設定されている場合、15分ごとに、展開を開始するために資格のある仮想マシンが特定のグループ(ターゲット)にあるかどうかが確認されます。ある場合は、ESET Managementエージェントとセキュリティ製品が数分後に仮想マシンにインストールされます。
監査ログには、展開の開始に関する情報が含まれます。
手動展開
ESETセキュリティ製品を有効にするコンピューターを選択します。サブスクリプションは自動的に割り当てられます。
1.コンピューターに移動し、会社(静的グループ)を選択し、仮想マシンを一覧表示します。
2.仮想マシンを選択し、3点メニュー
ボタンをクリックして、プラットフォームモジュールを選択します。クラウド向けESETセキュリティアプリケーションを有効化をクリックします。
3.ターゲットを選択します。
4.法的文書に同意することを選択し、有効にするをクリックします。
