ESET Cloud Workload Protection - Microsoft Azure, Amazon Web Services, Google Cloud Platform 주요 기능
•리소스 그룹으로 구성된 가상 컴퓨터를 동기화하여 클라우드 워크로드에 대한 가시성과 보호 기능을 제공합니다.
•새로 생성된 인스턴스에 대해 수동 또는 자동으로 워크로드에 보안 보호 기능을 배포할 수 있습니다.
•보호되는 워크로드에서 엔드포인트 수준의 보안 지표를 제공하여 클라우드 환경 전반의 위협에 대한 가시성을 확대합니다.
•인시던트에서 확장된 자산 컨텍스트를 제공하고 보호되는 컴퓨터에 대한 대응 동작을 지원합니다.
•더 많은 클라우드 지표와 원격측정 데이터를 수집하여 클라우드 환경 활동에 대한 가시성을 확대합니다.
통합 활성화 방법
필수 구성 요소
CloudFormation 템플릿 배포를 시작하기 전에 선택한 경로에 적용되는 모든 필수 조건을 검토하고 완료하십시오.
이러한 요구 사항은 어떤 템플릿을 선택하든 관계없이 적용됩니다.
계정이 표준 AWS 파티션에 있음
표준 AWS 상용 파티션의 AWS Organizations 및 계정만 지원됩니다. 다른 파티션(예: AWS GovCloud 또는 AWS 중국)의 계정은 지원되지 않습니다.
AWS 계정 권한
CloudFormation 스택을 배포하는 데 사용하는 AWS IAM 주체(사용자 또는 역할)에는 템플릿이 프로비저닝하는 모든 리소스를 생성할 수 있는 충분한 권한이 있어야 합니다.
필수 권한 범위: AdministratorAccess 또는 다음을 생성하도록 허용하는 사용자 지정 정책:
•IAM 역할 및 관리되는 정책
•S3 버킷 및 버킷 정책
•CloudTrail 트레일
•Lambda 함수(CloudFormation 사용자 지정 리소스로 호출됨)
•CloudFormation 스택 및 StackSets
자격 증명이 충분한지 확실하지 않은 경우 진행하기 전에 AWS 관리자에게 문의하십시오.
계정/조직당 스택을 한 번만 배포
각 템플릿은 고정된 이름(예: CwppServiceRole)을 가진 리소스를 생성합니다. 동일한 계정에 두 번째 스택을 배포하면 리소스가 이미 존재한다는 오류가 발생하며 실패합니다. 이전 배포가 실패했거나 다시 실행해야 하는 경우, 먼저 기존 CloudFormation 스택을 제거합니다.
CloudTrail이 지원되는 AWS 리전
다중 리전 AWS 트레일을 지원하는 CloudTrail 리전에 스택을 배포합니다. 모든 표준 상업용 AWS 리전이 지원됩니다. GovCloud 및 중국 리전은 지원되지 않습니다.
|
|
ESET 보호 제품을 배포할 모든 EC2 인스턴스에는 SSM Agent가 설치 및 실행 중이어야 합니다(대부분의 AWS 제공 AMI에 사전 설치되어 있음) DHMC는 자동 관리를 지원하지만 SSM Agent를 설치하지는 않습니다. 이 요구 사항은 나중에 활성화할 수도 있으며, 온보딩 전에 필수 사항은 아닙니다.
|
|
이러한 추가 요구 사항은 조직 템플릿 중 어느 것을 사용하든 적용됩니다.
관리 계정에서 배포
조직 템플릿은 AWS Organizations 관리 계정에 로그인한 상태에서 배포해야 합니다. 이 배포에는 구성원 계정을 사용할 수 없습니다.
루트 조직 단위 ID 찾기
배포 과정에서 루트 조직 단위 ID를 입력하라는 메시지가 표시됩니다. 이 ID는 모든 계정에 StackSets를 배포하는 데 사용됩니다. 이를 찾는 방법은 다음과 같습니다.
1.AWS Organizations 콘솔을 엽니다.
2.조직 트리의 맨 위에 있는 루트 항목을 클릭합니다.
3.ID를 복사합니다. 형식은 r-xxxx입니다.
자세한 지침은 조직 계층 구조 탐색에 대한 AWS 문서를 참조하십시오.
CloudFormation 조직 신뢰 접근 활성화 권한
템플릿은 CloudFormation과 AWS Organizations 간의 신뢰 접근을 자동으로 활성화합니다(Lambda 사용자 지정 리소스를 통해). 배포 주체는 cloudformation:ActivateOrganizationsAccess를 호출할 수 있도록 허용되어야 합니다. 이는 AdministratorAccess에 포함되어 있습니다. 범위가 지정된 권한 집합을 사용하는 경우 이 동작이 명시적으로 허용되었는지 확인합니다.
|
이러한 추가 요구 사항은 DHMC 템플릿 중 어느 것을 사용하든 적용됩니다.
충돌하는 기본 호스트 관리 구성(DHMC) 없음
이전에 AWS SSM 빠른 설정을 사용하여 DHMC를 부분적으로라도 구성했다면 DHMC 설정을 통한 조직 전체 온보딩을 사용할 수 없습니다. 이렇게 하면 두 구성이 충돌합니다. 그럴 경우 다음 방법을 사용합니다.
1.DHMC 이외의 조직 온보딩을 사용합니다.
2.기존 SSM 빠른 설정 구성에서 CWP이 배포될 모든 구성원 계정과 모든 리전에서 DHMC가 활성화되어 있는지 확인하십시오.
SSM 빠른 설정에 대한 권한
기본 조직 권한 외에도 배포 주체는 다음이 필요합니다.
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•서비스 연결 역할을 생성할 권한
이는 모두 AdministratorAccess에 포함되어 있습니다. 템플릿은 Lambda를 생성하여 이러한 단계를 자동으로 수행하므로 수동으로 명령을 실행할 필요가 없습니다.
|
CWP에서 AWS EC2 인스턴스에 대한 VM(EC2 인스턴스) 보호 기능을 활성화하려면 두 가지 수준의 요구 사항을 충족해야 합니다. 우선 EC2 인스턴스가 SSM 관리 인스턴스(계정 수준 설정)로 등록되어야 하며, 그 후 각 인스턴스가 VM 수준 요구 사항을 충족해야 보호 제품을 설치할 수 있습니다. 다른 CWP 기능은 이러한 필수 조건을 충족하지 않는 계정에서도 작동합니다.
프로젝트 필수 조건
이러한 요구 사항은 AWS 계정 수준에 적용됩니다. DHMC 템플릿 변형을 사용하는 경우 CWP이 온보딩 중에 이러한 요구 사항을 자동으로 구성합니다. 온보딩 과정(또는 그 이전)에서 DHMC가 설정되지 않은 계정의 경우, VM 보호 기능을 활성화하기 전에 이러한 단계를 수동으로 완료해야 합니다.
•EC2 인스턴스는 SSM 관리 인스턴스여야 함
CWP은 AWS Systems Manager(SSM)를 통해 ESET 보호 제품을 배포합니다. SSM이 EC2 인스턴스에 접근하려면 해당 인스턴스가 SSM 관리 인스턴스로 등록되어 있어야 합니다. 계정 내 모든 인스턴스에 대해 이를 보장하기 위해 권장되는 방법은 기본 호스트 관리 구성(DHMC)을 활성화하는 것입니다. 이렇게 하면 각 인스턴스에 전용 IAM 인스턴스 프로필이 없어도 계정 및 리전의 모든 EC2 인스턴스가 자동으로 등록됩니다.
DHMC는 AWS 콘솔의 Systems Manager > Fleet Manager > 계정 관리에서 리전별로 활성화하거나 SSM 빠른 설정을 통해 조직 전체에서 활성화할 수 있습니다. 자세한 내용은 AWS DHMC 문서를 참조하십시오.
VM 수준 요구 사항
이러한 요구 사항은 각 EC2 인스턴스에 적용됩니다. 계정 수준 설정이 완료되면 다음 조건을 모두 충족하는 경우에만 보호 제품을 인스턴스에 배포할 수 있습니다.
•EC2 인스턴스에서 아웃바운드 인터넷 접근이 가능해야 함
보호 배포 대상으로 지정된 각 EC2 인스턴스에는 아웃바운드 인터넷 접근이 필요합니다. NAT 게이트웨이가 없는 비공개 서브넷에 있는 인스턴스의 경우, 보호 기능을 배포하기 전에 아웃바운드 인터넷 접근을 구성해야 합니다.
•SSM Agent가 설치되어 실행 중이어야 함
AWS SSM은 SSM Agent를 통해 EC2 인스턴스와 통신합니다. AWS 제공하는 대부분의 AMI(Amazon Linux, Ubuntu Server, Windows Server)에는 SSM Agent가 사전 설치되어 있습니다. 사용자 지정 또는 타사 AMI의 경우 에이전트가 설치되어 실행 중인지 확인하십시오.
에이전트 설치 지침 및 실행 중인 인스턴스에서 에이전트 상태를 확인하는 방법은 AWS SSM Agent 문서를 참조하십시오.
AWS에서 Linux용 EC2 인스턴스에 대한 보호 기능을 제대로 배포하려면 보호 대상 계정 또는 조직에 AWS System Manager가 활성화되어 있어야 하고, EC2 인스턴스에 SSM Agent가 설치되어 있어야 합니다.
•VM이 지원되는 운영 체제를 실행해야 함
CWP은 지원되는 OS 배포판이 실행되는 인스턴스에만 ESET 보호 제품을 배포할 수 있습니다. 지원되는 OS 배포판의 전체 목록은 아래 참조 자료를 확인하십시오.
•VM이 보호 제품 시스템 요구 사항을 충족해야 함
보호 기능 배포 대상으로 지정된 각 VM은 ESET 보호 제품에 대한 최소 하드웨어 및 소프트웨어 요구 사항을 충족해야 합니다.
Windows Server
o프로세서: Intel 또는 AMD 싱글 코어 x64
o메모리: 256MB의 여유 RAM
o하드 드라이브: 700MB의 여유 디스크 공간
Linux
o프로세서: Intel/AMD x64 2코어(vCPU)
o메모리: 2GB RAM
o하드 드라이브: 700MB의 여유 디스크 공간
oGlibc 2.28 이상
oLinux 커널 버전 4.18 이상
o모든 UTF-8 인코딩 로캘
o보안 부팅을 비활성화해야 함 |
ESET PROTECT 웹 콘솔에서 통합 설정
통합 연결 프로세스를 진행하려면 연결을 클릭합니다.
1.일반 설정 - 이름을 입력하고 다음 방법 중 하나를 선택합니다. AWS Organizations(루트 조직 유닛 ID 포함) 또는 AWS 단일 계정(계정 ID 포함)을 선택하고 클라이언트 설명을 입력한 다음 계속을 클릭합니다.
2.호스트 관리 - AWS 계정에서 기본 호스트 관리 구성이 활성화되어 있는지 선택합니다.
3.CloudFormation - AWS에서 스택을 생성(스택 상태를 확인하거나 설정을 완료하려면 에서 실행AWS 버튼 클릭)한 다음 상태 확인을 선택합니다.
4.통합 요약 - 설정(이름, 방법, 계정 ID, ESET CWP S3 버킷, 클라이언트 설명)과 함께 통합 요약을 검토한 후 마침을 클릭합니다.
|
|
통합이 완료되면(상태: 활성화) 컴퓨터 > 회사 트리 > 선택한 조직(정적 그룹)의 통합에서 동기화된 가상 컴퓨터를 확인할 수 있습니다.
|
배포
지원되는 시스템 요구 사항 및 운영 체제
ESET 보안 애플리케이션 설치를 위한 시스템 요구 사항을 충족하는 가상 컴퓨터에 ESET 보호 기능을 배포할 수 있습니다.
•ESET Server Security for Windows(Windows VM)
•ESET Server Security for Linux(Linux VM)
자동 배포
자동 배포는 기본적으로 꺼져 있습니다. 연결된 클라우드 환경에서 통합된 가상 컴퓨터에서 ESET Cloud Workload Protection이 작동하는 방식을 구성 섹션에서 정의할 수 있습니다.
구성된 경우, 15분마다 해당 그룹(대상)에서 배포를 시작할 수 있는 가상 컴퓨터가 있는지 확인합니다. 있는 경우 몇 분 후 ESET Management Agent와 보안 제품이 가상 컴퓨터에 차례로 설치됩니다.
감사 로그에는 배포 시작에 대한 정보가 포함되어 있습니다.
수동 배포
ESET 보안 제품을 활성화할 컴퓨터를 선택합니다. 구독은 자동으로 할당됩니다.
1.컴퓨터로 이동하여 > 회사(정적 그룹)를 선택하면 > 가상 컴퓨터 목록이 표시됩니다.
2.가상 컴퓨터를 선택하고 > 점 3개 
버튼을 클릭한 다음 > 플랫폼 모듈을 선택하고 > 클라우드용 ESET 보안 애플리케이션 활성화를 클릭합니다.
3.대상을 선택합니다.
4.선택하여 법률 문서에 동의한 후 활성화를 클릭합니다.
