Google Cloud Platform>

これらの要件は、選択した保護範囲に関係なく適用されます。

十分なIAM権限を持つGoogleアカウント

統合ウィザード中に認証するGoogleアカウントには、ユーザーに代わって次のリソースを作成および設定するためのIAM権限が必要です。

•新しいGCPプロジェクト(CWP管理プロジェクト)

•そのプロジェクトのサービスアカウント

•組織またはプロジェクトでのIAMロールバインディング

•組織ポリシーの変更(組織レベルで統合する場合)

これを満たす最も簡単な方法は、組織レベルで組織管理者の役割(roles/resourcemanager.organizationAdmin)を保持するアカウントを使用することです。このロールは、組織の下にプロジェクトを作成し、組織とそのプロジェクトに関するIAMポリシーを管理し、組織レベルのポリシーを管理する権限を付与します。

GCP組織における十分なプロジェクト作成クォータ

GCPは組織内に存在できるプロジェクトの数に制限を課します。CWPはオンボーディング中にESET Cloud Workload Protection管理プロジェクトを作成する必要があります。組織のプロジェクト作成割り当てが使い果たされた場合、この手順は失敗し、統合を完了できません。統合を開始する前に、組織に少なくとも1つの使用可能なプロジェクトスロットがあることを確認してください。

これらの追加要件は、組織レベルの保護を選択する場合に適用されます。

組織ポリシーの変更について

オンボーディング中に、CWPはGCP組織内の2つの組織ポリシーを変更します。

•iam.allowedPolicyMemberDomains - ESETのGoogle Workspace顧客IDが、IAMポリシーのメンバーであることが許可されるドメインのリストに追加されます。

•iam.managed.allowedPolicyMembers - ESETの組織プリンシパルセットが、拡張IAMメンバーであることが許可されるプリンシパルのリストに追加されます。

これらの変更は付加的なものです。CWPは既存のポリシーエントリを削除または上書きしません。制約が既にすべて(*)を許可するように設定されている場合、または制約が組織に存在しない場合、この手順は何も行いません。

CWPにVM保護を展開するには、次の2つのレベルの要件があります。

•まず、GCPプロジェクトは、オンボード中に自動的に、またはその後手動でVM保護を展開するために、一連のプロジェクトレベルの前提条件を満たす必要があります。

•次に、保護製品をインストールするために、個々のCompute EngineインスタンスがVMレベルの要件を満たす必要があります。その他のCWP機能は、これらの前提条件を満たさないプロジェクトでも機能します。

プロジェクトの前提条件

これらの要件はGCPプロジェクトレベルで適用されます。CWPはすべての条件が満たされたときに、オンボーディング中に自動的にそれらを設定します。オンボーディング時にそれらを満たさないプロジェクト、または組織レベルの統合の一部として後で追加されたプロジェクトの場合、設定はスキップされ、そのプロジェクトに対してVM保護を有効にするには手動で設定を完了する必要があります。

•請求が有効である

GCPは、OS Config APIを有効にするために、プロジェクトで請求を有効にする必要があります。オンボーディング中にプロジェクトで請求が有効になっていない場合、CWPはVM保護の展開に必要な前提条件を設定できません。

統合プロセス中に存在しなかったプロジェクト、または請求が有効になっていなかったプロジェクトで保護をGCP VMインスタンスに展開するには、以下を手動で設定する必要があります。

1. 必要なAPIを有効にします。

oOS Config API (osconfig.googleapis.com)

oプロジェクトで請求が有効になっていることを確認します

2.プロジェクトメタデータの設定:

oenable-osconfigをTRUEに設定します

oenable-guest-attributesをTRUEに設定します

oenable-osloginをTRUEに設定します

3.VM Managerで全機能を有効にします。

oGCPコンソールで、VM Manager > プロジェクト設定に移動し、パッチと設定の機能セットを[フル] (OSCONFIG_C)に設定します

•Compute Engine APIがターゲットプロジェクトで有効になっている必要があります

CWPは、プロジェクトでosconfig.googleapis.com APIを自動的に有効にします。ただし、OS Configを有効にするには、Compute Engine API (compute.googleapis.com)がターゲットプロジェクトですでにアクティブになっている必要もあります(プロジェクトで初めてCompute Engine を使用するときに自動的に有効になります)。Compute Engineを使用したことがなく、請求が有効になっていないプロジェクトでは、VM Managerの設定は自動的にスキップされます。

•OS Config APIはターゲットプロジェクトで有効にする必要があります

CWPはすべての前提条件が満たされると、オンボーディング中にOS Config API (osconfig.googleapis.com)を自動的に有効化します。これらの前提条件を満たさないプロジェクトの場合、オンボーディング中の設定はスキップされます。

•VM Managerを設定する必要があります

VM Managerは、オンボーディング中にすべてのプロジェクトに対して設定されます。必要な前提条件が満たされていない場合、そのプロジェクトの設定はスキップされます。手動設定の詳細について、VM Managerのドキュメントを参照してください。

•ターゲットプロジェクトリージョンでの十分なOSポリシー割り当てクォータ

CWPはGCP OS Config OSポリシー割り当てを使用してVM保護を展開します。GCPはリージョンごとのプロジェクトあたりのOSポリシー割り当ての数にクォータを適用します。

特定のリージョンでこのクォータが使い果たされた場合、CWPはそこで新しいOSポリシー割り当てを作成することはできず、既存の割り当てが削除されるまで、そのリージョン内のインスタンスにVM保護を展開できません。このクォータは、リージョンごとに個別に評価されます。1つのリージョンのフルクォータは、他のリージョンには影響しません。

VMレベルの要件

これらの要件は、個々のCompute Engineインスタンスに適用されます。プロジェクトに対してVM保護が有効になっている場合、保護製品は、次のすべてを満たしている場合にのみVMに展開できます。これらは、統合およびプロジェクトレベルの前提条件がすでに整った後など、いつでも検証および対処できます。

•Compute Engineインスタンスにはネットワークアクセスが必要です

保護展開の対象となる各Compute Engineインスタンスは、ESET保護製品のインストールを許可するためにインターネットにアクセスできる必要があります。

•Google Cloud VM ManagerはVMイメージと互換性がある必要があります

CWPはプロジェクトでGCP VM Manager (OS Config)を有効にします。VM Managerは、OS Configエージェントを介してVMと通信します。これは、GCP提供のすべての標準OSイメージ(Debian、Ubuntu、CentOS、RHEL、Rocky Linux、Windows Serverなど)に事前にインストールされています。OS Configエージェントを含まないカスタムイメージを実行しているVMには、保護の展開のためにCWPからアクセスできません。

OS configエージェントがVMにインストールされているかどうかを確認します: GCPドキュメント

•VMはサポートされているオペレーティングシステムを実行する必要があります

CWPは、サポートされているOSディストリビューションを実行しているVMにのみESET保護製品を展開できます。以下のサポートされているOSディストリビューションを参照してください。

•VMは保護製品のシステム要件を満たす必要があります

保護の展開の対象となる各VMは、ESET保護製品の最小ハードウェアおよびソフトウェア要件を満たしている必要があります。

Windows Server

oプロセッサ:IntelまたはAMDシングルコアx64

oメモリ:256 MBの空きRAM

oハードドライブ:700 MBの空きディスク領域

Linux

oプロセッサ:Intel/AMD x64、2コア(vCPU)

oメモリ:2 GBのRAM

oハードドライブ:700 MBの空きディスク領域

oGlibc 2.28以降

oLinuxカーネルバージョン4.18以降

o任意のUTF-8エンコーディングロケール

oセキュアブートを無効にする必要があります