ESET Cloud Workload Protection–Microsoft Azure, Amazon Web Services, principais características do Google Cloud Platform
•Permite visibilidade e proteção de cargas de trabalho na nuvem sincronizando máquinas virtuais organizadas em grupos de recursos.
•Permite a implantação de proteção de segurança em cargas de trabalho, de forma manual ou automática, para instâncias recém-criadas.
•Fornece indicadores de segurança no nível do endpoint de cargas de trabalho protegidas, expandindo a visibilidade das ameaças em ambientes de nuvem.
•Fornece contexto de ativo estendido em Incidentes e dá suporte a ações de resposta em máquinas protegidas.
•Ingere mais indicadores de nuvem e telemetria, expandindo a visibilidade da atividade do ambiente de nuvem.
Como habilitar a integração
Pré-requisitos
Revise e conclua todos os pré-requisitos que se aplicam ao caminho escolhido antes de iniciar a implantação do modelo CloudFormation.
Esses requisitos se aplicam independentemente do modelo selecionado.
A conta está na partição padrão AWS
Somente Organizações AWS e contas na partição comercial AWS padrão são compatíveis. Contas em outras partições (como AWS GovCloud ou AWS China) não são compatíveis.
Permissões da conta AWS
O AWS IAM principal (usuário ou função) que você usa para implantar a pilha CloudFormation deve ter permissões suficientes para criar todos os recursos provisionados pelo modelo.
Escopo de permissões necessárias: AdministratorAccess ou uma política personalizada que permita criar:
•Funções e políticas gerenciadas IAM
•Buckets e políticas de bucket S3
•Trilhas CloudTrail
•Funções Lambda (invocadas como recursos personalizados CloudFormation)
•Pilhas CloudFormation e StackSets
Se você não tiver certeza se suas credenciais são suficientes, verifique com o administrador AWS antes de continuar.
Implantar a pilha apenas uma vez por conta/organização
Cada modelo cria recursos com nomes fixos (por exemplo, CwppServiceRole). A implantação de uma segunda pilha na mesma conta falhará com um erro de recurso já existente. Se uma implantação anterior falhou ou precisa ser refeita, exclua a pilha CloudFormation existente primeiro.
Região da AWS com compatível com CloudTrail
Implante a pilha em uma região da AWS compatível com trilhas CloudTrail de várias regiões. Todas as regiões comerciais padrão da AWS se qualificam. As regiões GovCloud e China não são compatíveis.
|
|
As instâncias EC2 devem ter o Agente SSM instalado e em execução (ele está pré-instalado na maioria das AMIs fornecidas pela AWS) em qualquer instância em que você planeja implantar o produto de proteção ESET. O DHMC permite o gerenciamento automático, mas não instala o Agente SSM. Esse requisito também pode ser ativado posteriormente e não é obrigatório antes da integração.
|
|
Esses requisitos adicionais se aplicam ao usar qualquer um dos modelos da organização.
Implantar da conta de gerenciamento
Os modelos da organização devem ser implantados enquanto você estiver conectado à sua conta de gerenciamento de Organizações AWS. Você não pode usar uma conta de membro para essa implantação.
Localize seu ID de unidade da organização raiz
Durante a implantação, será solicitado que você forneça o ID da unidade organizacional raiz, que é usado para implantar o StackSets em todas as contas. Para encontrá-lo:
1.Abra o console de Organizações AWS.
2.Clique na entrada Raiz na parte superior da árvore organizacional.
3.Copie o ID, que está no formato r-xxxx.
Para obter instruções detalhadas, consulte a documentação AWS sobre como navegar na hierarquia da sua organização.
Permissão para ativar o acesso confiável da Organização CloudFormation
O modelo ativa o acesso confiável automaticamente entre o CloudFormation e as Organizações AWS (por meio de um recurso personalizado Lambda). A entidade principal de implantação deve ter permissão para chamar cloudformation:ActivateOrganizationsAccess. Isso está incluído no AdministratorAccess. Se você usar um conjunto de permissões com escopo, verifique se essa ação é explicitamente permitida.
|
Esses requisitos adicionais se aplicam ao usar qualquer variante de modelo DHMC.
Sem conflito com a Configuração padrão de gerenciamento de host (Default Host Management Configuration, DHMC)
Se você usou anteriormente a configuração rápida do AWS SSM para configurar o DHMC, mesmo que parcialmente, não poderá usar a integração em toda a organização com a configuração do DHMC. As duas configurações entrarão em conflito. Nesse caso:
1.Use a integração da organização não DHMC.
2.Em sua configuração da Configuração Rápida do SSM existente, certifique-se de que o DHMC esteja ativo em todas as contas-membro e em todas as regiões em que o CWP será implantado.
Permissões para a Configuração Rápida do SSM
Além das permissões da organização base, a entidade principal de implantação precisa:
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•Permissão para criar funções vinculadas ao serviço
Tudo isso está incluído no AdministratorAccess. O modelo cria um Lambda que executa essas etapas automaticamente, você não precisa executar nenhum comando manualmente.
|
Habilitar a proteção de VM (instância EC2) em CWP para instâncias AWS EC2 envolve dois níveis de requisitos. A instância EC2 deve primeiro ser registrada como uma instância gerenciada pelo SSM (configuração no nível da conta) e, em seguida, cada instância individual deve atender aos requisitos no nível da VM antes que o produto de proteção possa ser instalado nela. Outras funcionalidades do CWP funcionam em contas que não atendem a esses pré-requisitos.
Pré-requisitos do projeto
Esses requisitos se aplicam no nível da conta AWS. O CWP faz essa configuração automaticamente durante a integração quando a variante de modelo DHMC é usada. Para contas em que o DHMC não foi configurado durante a integração (ou antes), essas etapas devem ser concluídas manualmente antes que a proteção de VM possa ser habilitada.
•A instância EC2 deve ser uma instância gerenciada por SSM
O CWP implanta o produto de proteção ESET por meio do AWS Systems Manager (SSM). Para que o SSM alcance uma instância EC2, essa instância deve ser registrada como uma instância gerenciada pelo SSM. A maneira recomendada de garantir isso para todas as instâncias em uma conta é habilitar a Configuração de Gerenciamento de Host Padrão (DHMC), que registra automaticamente todas as instâncias EC2 em uma conta e região sem exigir um perfil de instância IAM dedicado em cada instância.
O DHMC pode ser habilitado por região no console AWS em Systems Manager > Fleet Manager > Gerenciamento de conta, ou em toda a organização por meio da Configuração rápida do SSM. Consulte a documentação do AWS DHMC para obter detalhes.
Requisitos no nível da VM
Esses requisitos se aplicam a cada instância EC2 individual. Quando a configuração no nível da conta está em vigor, o produto de proteção pode ser implantado em uma instância somente se atender a todos os itens a seguir.
•A instância EC2 deve ter acesso de saída à Internet
Cada instância EC2 direcionada para implantação de proteção deve ter acesso de saída à Internet. Em instâncias em sub-redes privadas sem um gateway NAT, o acesso de saída à Internet deve ser configurado antes que a proteção possa ser implantada.
•O Agente SSM deve estar instalado e deve estar em execução
O AWS SSM se comunica com as instâncias EC2 por meio do Agente SSM. A maioria das AMIs fornecidas pela AWS (Amazon Linux, Ubuntu Server, Windows Server) inclui o Agente SSM pré-instalado. Para AMIs personalizadas ou de terceiros, verifique se o agente está instalado e em execução.
Consulte a documentação do Agente AWS SSM para obter instruções de instalação e sobre como verificar o status do agente em uma instância em execução.
Para ter uma implantação funcional de proteção para instâncias do EC2 para Linux na AWS, a conta ou organização protegida precisa ter o AWS System Manager habilitado, e as instâncias do EC2 precisam ter o Agente SSM instalado.
•A VM deve executar um sistema operacional compatível
O CWP só pode implantar o produto de proteção ESET em instâncias que executam uma distribuição de sistema operacional compatível. Para obter a lista completa de distribuições de sistema operacional compatíveis, consulte a referência abaixo.
•A VM deve atender aos requisitos do sistema do produto de proteção
Cada VM direcionada para implantação de proteção deve atender aos requisitos mínimos de hardware e software para o produto de proteção ESET.
Windows Server
oProcessador: Intel ou AMD single-core x64
oMemória: 256 MB de RAM livre
oDisco rígido: 700 MB de espaço em disco livre
Linux
oProcessador: Intel/AMD x64 com 2 cores (vCPUs)
oMemória: 2 GB de RAM
oDisco rígido: 700 MB de espaço em disco livre
oGlibc 2.28 ou versão posterior
oKernel Linux versão 4.18 ou posterior
oQualquer localidade de codificação UTF-8
oA Inicialização segura deve estar desativada |
Configuração de integração no Web Console ESET PROTECT
Clique em Conectar para realizar o processo de Conectar integração:
1.Configuração Geral – digite o Nome e selecione um método: Organizações AWS (com ID de unidade organizacional raiz) ou Conta única AWS (com ID de conta), digite a Descrição do cliente e clique em Continuar.
2.Gerenciamento de hosts – selecione se a Configuração padrão de gerenciamento de host está ativada na sua conta AWS.
3.CloudFormation – crie uma pilha na AWS (clique no botão Lançar na AWS para verificar o status da pilha ou completar a configuração) e selecione Confirmar status.
4.Resumo de integração– revise o Resumo de integração com suas configurações (Nome, Método, ID da conta, Bucket ESETCWP S3, Descrição do cliente) e clique em Concluir.
|
|
Quando uma integração é concluída (Status: Ativo), você pode ver as máquinas virtuais sincronizadas Integração em Computadores > Árvore de empresas > organização selecionada (grupo estático).
|
Implantação
Requisitos do sistema e sistemas operacionais compatíveis
Você pode implantar a proteção ESET em máquinas virtuais que atendam aos requisitos do sistema para a instalação do aplicativo de segurança ESET:
•ESET Server Security for Windows (VMs Windows)
•ESET Server Security for Linux (VMs do Linux)
Implantação automática
Por padrão, a implantação automática está desativada. Você pode definir como o ESET Cloud Workload Protection se comporta em máquinas virtuais integradas de seus ambientes de nuvem conectados na seção Configuração.
Se estiver configurado, a cada 15 minutos será verificado se há uma máquina virtual elegível no grupo determinado (destino) para iniciar a implantação. Se sim, o Agente ESET Management e um produto de segurança serão instalados na máquina virtual em alguns minutos.
O relatório de auditoria contém informações sobre como iniciar a implantação.
Implantação manual
Selecione os computadores nos quais você deseja ativar o produto de segurança ESET. Uma assinatura será atribuída automaticamente.
1.Vá para Computadores > selecione Empresa (grupo estático) > listar máquinas virtuais.
2.Selecione a máquina virtual > clique no botão de três pontos 
> selecione Módulos da plataforma, clique em Ativar o aplicativo de segurança ESET para nuvem.
3.Selecionar destinos.
4.Selecione para concordar com os Documentos legais e clique em Ativar.
