ESET Cloud Workload Protection — główne funkcje Microsoft Azure, Amazon Web Services, Google Cloud Platform
•Umożliwia widoczność i ochronę obciążeń chmurowych poprzez synchronizację maszyn wirtualnych zorganizowanych w grupy zasobów.
•Umożliwia wdrożenie ochrony bezpieczeństwa w obciążeniach, ręcznie lub automatycznie, w przypadku nowo utworzonych instancji.
•Dostarcza wskaźniki bezpieczeństwa na poziomie punktów końcowych z chronionych obciążeń, rozszerzając widoczność zagrożeń w środowiskach chmurowych.
•Zapewnia rozszerzony kontekst zasobów w Incydentach i wspiera działania odpowiedzi na chronionych maszynach.
•Pobiera więcej wskaźników chmurowych i telemetrii, zwiększając widoczność aktywności środowiska chmurowego.
Jak włączyć integrację
Wymagania wstępne
Przejrzyj i spełnij wszystkie wymagania wstępne dotyczące wybranej ścieżki przed rozpoczęciem wdrażania szablonu CloudFormation.
Te wymagania obowiązują niezależnie od wybranego szablonu.
Konto znajduje się w standardowej partycji AWS
Obsługiwane są tylko organizacje i konta AWS w standardowej partycji komercyjnej AWS. Konta w innych partycjach (takich jak AWS GovCloud lub AWS Chiny) nie są obsługiwane.
Uprawnienia do konta AWS
Główny obiekt IAM AWS (użytkownik lub rola), którego używasz do wdrożenia stosu CloudFormation, musi mieć wystarczające uprawnienia do tworzenia wszystkich zasobów przewidzianych przez szablon.
Wymagany zakres uprawnień: AdministratorAccess, czyli niestandardowa polityka umożliwiająca tworzenie:
•Role i zarządzane polityki IAM
•Przedziały S3 i polityki dotyczące przedziałów
•Ścieżki CloudTrail
•Funkcje Lambda (wywoływane jako własne zasoby CloudFormation)
•Stosy CloudFormation i StackSets
W przypadku braku pewności, czy Twoje poświadczenia są wystarczające, sprawdź to u administratora AWS przed dalszą pracą.
Wdróż stos tylko raz na każde konto/organizację
Każdy szablon tworzy zasoby o stałych nazwach (na przykład CwppServiceRole). Wdrożenie drugiego stosu na tym samym koncie zakończy się niepowodzeniem z błędem informującym, że zasób już istnieje. Jeśli poprzednie wdrożenie nie powiodło się lub wymaga ponownego rozpoczęcia, usuń najpierw istniejący stos CloudFormation.
Region AWS z obsługą CloudTrail
Wdróż stos w regionie AWS, który obsługuje ścieżki wieloregionalne CloudTrail. Wszystkie standardowe regiony handlowe AWS kwalifikują się. GovCloud i regiony chińskie nie są wspierane.
|
|
Instancje EC2 muszą mieć zainstalowanego i uruchomionego Agenta SSM (jest on wstępnie zainstalowany na większości AMI dostarczanych przez AWS) w każdej instancji, w której planujesz wdrożyć produkt ochronny ESET. DHMC umożliwia automatyczne zarządzanie, ale nie instaluje agenta SSM. Ten wymóg może zostać również włączony później i nie jest obowiązkowy przed wdrożeniem.
|
|
Te dodatkowe wymagania obowiązują przy użyciu któregokolwiek szablonu organizacyjnego.
Wdrożenie z poziomu konta zarządzania
Szablony organizacji należy wdrożyć w okresie zalogowania na swoje konto zarządzania organizacjami AWS. Nie możesz używać konta członkowskiego podczas tego wdrożenia.
Znajdź identyfikator jednostki organizacji głównej
Podczas wdrażania otrzymasz prośbę o podanie identyfikatora głównej jednostki organizacyjnej, która jest używany do wdrożenia StackSets na wszystkich kontach. Aby to znaleźć:
1.Otwórz konsolę Organizacje AWS.
2.Kliknij wpis Główny na górze drzewa organizacyjnego.
3.Skopiuj identyfikator — ma on format r-xxxx.
Szczegółowe instrukcje znajdziesz w dokumentacji dotyczącej AWS, która zawiera informacje na temat poruszania się po hierarchii organizacji.
Uprawnienia do aktywacji zaufanego dostępu organizacji CloudFormation
Szablon automatycznie aktywuje zaufany dostęp między organizacjami CloudFormation i AWS (poprzez niestandardowy zasób Lambda). Główny obiekt wdrażający musi mieć możliwość wywoływania cloudformation:ActivateOrganizationsAccess. Jest to zawarte w AdministratorAccess. Jeśli używasz zestawu uprawnień o ograniczonym zakresie, upewnij się, że ta akcja jest wyraźnie dozwolona.
|
Te dodatkowe wymagania obowiązują przy użyciu którejkolwiek z wersji szablonu DHMC.
Brak konfliktów w domyślnej konfiguracji zarządzania hostem (DHMC)
Jeśli wcześniej używano AWS SSM Quick Setup do konfiguracji DHMC, nawet częściowo, nie można korzystać z wdrożenia ogólnoorganizacyjnego z konfiguracją DHMC. Obie konfiguracje będą ze sobą kolidować. W takim przypadku:
1.Korzystaj z wdrożenia spoza organizacji DHMC.
2.W obecnej konfiguracji SSM Quick Setup upewnij się, że DHMC jest aktywne na wszystkich kontach członkowskich i we wszystkich regionach, w których CWP zostanie wdrożone.
Uprawnienia do szybkiej konfiguracji SSM
Oprócz podstawowych uprawnień organizacji, główny obiekt wdrożenia potrzebuje:
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•Uprawnienia do tworzenia ról powiązanych z usługami
Wszystkie te elementy są zawarte w AdministratorAccess. Szablon tworzy Lambda, która wykonuje te kroki automatycznie, nie musisz ręcznie uruchamiać żadnych poleceń.
|
Włączenie ochrony VM (instancja EC2) w CWP dla instancji AWS EC2 wymaga dwóch poziomów wymagań. Instancja EC2 musi najpierw zostać zarejestrowana jako instancja zarządzana przez SSM (konfiguracja na poziomie konta), a następnie każda indywidualna instancja musi spełniać wymagania VM, zanim produkt ochronny będzie mógł zostać zainstalowany. Inne funkcje CWP działają na kontach, które nie spełniają tych wymagań wstępnych.
Wymagania wstępne projektu
Wymagania te obowiązują na poziomie konta AWS. CWP konfiguruje je automatycznie podczas wdrożenia, gdy używany jest wariant szablonu DHMC. W przypadku kont, na których DHMC nie zostało skonfigurowane podczas wdrażania (lub wcześniej), te kroki muszą być wykonane ręcznie, zanim ochrona VM zostanie włączona.
•Instancja EC2 musi być instancją zarządzaną przez SSM
CWP wdraża produkt ochronny ESET za pośrednictwem AWS Systems Manager (SSM). Aby SSM dotarło do instancji EC2, musi ona być zarejestrowana jako instancja zarządzana przez SSM. Zalecanym sposobem zapewnienia tego dla wszystkich instancji na koncie jest włączenie Domyślnej konfiguracji zarządzania hostem (DHMC), która automatycznie rejestruje każdą instancję EC2 na koncie i w regionie bez konieczności posiadania dedykowanego profilu instancji IAM dla każdej instancji.
DHMC można włączyć dla każdego regionu w konsoli AWS w sekcji Menedżer systemów > Menedżer floty > Zarządzanie kontem lub w całej organizacji przez SSM Quick Setup. Szczegóły można znaleźć w dokumentacji DHMC AWS.
Wymagania na poziomie maszyn wirtualnych
Te wymagania dotyczą każdej indywidualnej instancji EC2. Gdy konfiguracja na poziomie konta jest już wdrożona, produkt ochronny może być wdrożony na instancji tylko wtedy, gdy spełnia wszystkie poniższe wymagania.
•Instancja EC2 musi mieć dostęp wychodzący do Internetu
Każda instancja EC2 przeznaczona do wdrożenia ochrony musi mieć dostęp wychodzący do Internetu. Instancje w prywatnych podsieciach bez bramy NAT, dostęp wychodzący do Internetu musi zostać skonfigurowany przed wdrożeniem ochrony.
•Agent SSM musi być zainstalowany i uruchomiony
AWS SSM komunikuje się z instancjami EC2 za pośrednictwem agenta SSM. Większość AMI dostarczonych przez AWS (Amazon Linux, Ubuntu Server, Windows Server) zawiera preinstalowanego agenta SSM. W przypadku niestandardowych lub zewnętrznych AMI sprawdź, czy agent jest zainstalowany i działa.
Zobacz dokumentację agenta SSM AWS, aby poznać instrukcje instalacji i sposób weryfikacji statusu agenta na działającej instancji.
Aby zapewnić funkcjonalne wdrożenie ochrony na instancjach EC2 dla systemu Linux w AWS, chronione konto lub organizacja musi mieć włączony AWS System Manager, a instancje EC2 muszą mieć zainstalowanego agenta SSM.
•Maszyna wirtualna musi działać na obsługiwanym systemie operacyjnym
CWP może tylko wdrożyć produkt ochronny ESET na instancjach działających na obsługiwanej dystrybucji systemu operacyjnego. Pełną listę obsługiwanych dystrybucji systemu operacyjnego można znaleźć w poniższym odnośniku.
•Maszyna wirtualna musi spełniać wymagania systemu produktu ochronnego
Każda maszyna wirtualna przeznaczona do wdrożenia ochrony musi spełniać minimalne wymagania sprzętowe i programowe dla produktu ochronnego ESET.
Windows Server
oProcesor: Jednordzeniowy x64 Intel lub AMD
oPamięć: 256 MB wolnej pamięci RAM
oDysk twardy: 700 MB wolnej przestrzeni na dysku
Linux
oProcesor: Intel/AMD x64 z 2 rdzeniami (vCPU)
oPamięć: 2 GB RAM
oDysk twardy: 700 MB wolnej przestrzeni na dysku
oGlibc 2.28 lub nowszy
oJądro Linux w wersji 4.18 lub nowszej
oDowolne kodowanie lokalne UTF-8
oSecure Boot musi być wyłączony |
Konfiguracja integracji w konsoli internetowej ESET PROTECT
Kliknij przycisk Połącz, aby przejść przez proces łączenia integracji:
1.Konfiguracja ogólna — wpisz Nazwę, wybierz metodę: Organizacje AWS (z Identyfikatorem jednostki organizacji głównej) lub Pojedyncze konto AWS (z Identyfikatorem konta), wpisz Opis klienta i kliknij Kontynuuj.
2.Zarządzanie hostem — wybierz, czy domyślna konfiguracja zarządzania hostem jest włączona na Twoim koncie AWS.
3.CloudFormation — tworzenie stosu w AWS (kliknij przycisk Uruchom w AWS, aby sprawdzić status stosu lub przeprowadzić konfigurację), a następnie wybierz opcję Potwierdź status.
4.Podsumowanie integracji — przejrzyj Podsumowanie integracji w ustawieniach (Nazwa, Metoda, Identyfikator konta, Pakiet ESET CWP S3, Opis klienta) i kliknij przycisk Zakończ.
|
|
Po zakończeniu integracji (Status: Aktywna), możesz zobaczyć maszyny wirtualne zsynchronizowane w integracji w sekcji Komputery > Drzewo firm > wybrana organizacja (grupa statyczna).
|
Wdrożenie
Obsługiwane wymagania systemowe i systemy operacyjne
Możesz wdrożyć ochronę ESET na maszynach wirtualnych, które spełniają wymagania systemowe dotyczące instalacji aplikacji bezpieczeństwa ESET:
•ESET Server Security for Windows (maszyny wirtualne Windows)
•ESET Server Security for Linux (maszyny wirtualne Linux)
Wdrożenie automatyczne
Automatyczne wdrażanie jest domyślnie wyłączone. Możesz określić, jak ESET Cloud Workload Protection zachowuje się na maszynach wirtualnych zintegrowanych z połączonymi środowiskami chmurowymi w sekcji Konfiguracja.
Po skonfigurowaniu co 15 minut sprawdza się, czy w danej grupie (docelowej) jest uprawniona maszyna wirtualna w celu rozpoczęcia wdrożenia. Jeśli tak, po kilku minutach na maszynie wirtualnej zostanie zainstalowany agent ESET Management, a następnie produkt zabezpieczający.
Dziennik audytu zawiera informacje o rozpoczęciu wdrożenia.
Wdrożenie ręczne
Wybierz komputery, na których chcesz włączyć produkt zabezpieczający ESET. Subskrypcja zostanie przypisana automatycznie.
1.Przejdź do sekcji Komputery > wybierz opcję Firma (grupa statyczna) > lista maszyn wirtualnych.
2.Wybierz maszynę wirtualną > kliknij przycisk trzech kropek 
> wybierz opcję Moduły platformy > kliknij przycisk Włącz aplikację zabezpieczającą ESET dla chmury.
3.Wybierz obiekty docelowe.
4.Wybierz zgodę na dokumenty prawne i kliknij przycisk Włącz.
