ESET Cloud Workload Protection — основные функции Microsoft Azure, Amazon Web Services, Google Cloud Platform
•Обеспечивает видимость и защиту облачных рабочих нагрузок путем синхронизации виртуальных машин, организованных в группы ресурсов.
•Позволяет развертывать защиту для рабочих нагрузок вручную или автоматически для вновь создаваемых экземпляров.
•Предоставляет индикаторы безопасности уровня конечных точек из защищенных рабочих нагрузок, расширяя доступность данных об угрозах в облачных средах.
•Предоставляет расширенный контекст ресурсов в разделе Инциденты и поддерживает действия по реагированию на защищенных компьютерах.
•Принимает больше облачных индикаторов и данных телеметрии, расширяя доступность данных о действиях в облачной среде.
Включение интеграции
Необходимые условия
Прежде чем начинать развертывание шаблона CloudFormation, проверьте и выполните все обязательные условия, применимые к выбранному пути.
Эти требования применяются независимо от выбранного шаблона.
Учетная запись находится в стандартном разделе AWS
Поддерживаются только организации и учетные записи AWS в стандартном коммерческом разделе AWS. Учетные записи в других разделах (например, AWS GovCloud или AWS China) не поддерживаются.
Разрешения учетной записи AWS
Субъект AWS IAM (пользователь или роль), используемый для развертывания стека CloudFormation, должен иметь достаточные разрешения для создания всех ресурсов, предоставляемых шаблоном.
Диапазон обязательных разрешений: AdministratorAccess или пользовательская политика, которая позволяет создавать:
•роли и управляемые политики IAM;
•корзины и политики корзин S3;
•журналы CloudTrail;
•функции Lambda (вызываются как пользовательские ресурсы CloudFormation);
•стеки CloudFormation и наборы StackSets.
Если вы не уверены в достаточности ваших учетных данных, перед продолжением проконсультируйтесь с администратором AWS.
Развертывание стека только один раз для каждой учетной записи или организации
Каждый шаблон создает ресурсы с фиксированными именами (например, CwppServiceRole). Развертывание второго стека в той же учетной записи завершится неудачей из-за ошибки «Ресурс уже существует». Если предыдущее развертывание завершилось неудачей или его необходимо выполнить повторно, сначала удалите существующий стек CloudFormation.
Регион AWS с поддержкой CloudTrail
Разверните стек в регионе AWS, который поддерживает многорегиональные журналы CloudTrail. Можно использовать все стандартные коммерческие регионы AWS. Регионы GovCloud и China не поддерживаются.
|
|
В экземплярах EC2 должен быть установлен и запущен агент SSM (он предустановлен на большинстве AMI, предоставляемых AWS) на каждом экземпляре, в котором планируется развернуть продукт защиты ESET. DHMC обеспечивает автоматическое управление, но не устанавливает агент SSM. Это требование также можно включить позднее, и оно не является обязательным до подключения.
|
|
Эти дополнительные требования применяются при использовании любого из шаблонов организации.
Развертывание с помощью учетной записи управления
Шаблоны организации необходимо развертывать, когда вы вошли в учетную запись управления AWS Organizations. Вы не можете использовать учетную запись участника для этого развертывания.
Нахождение идентификатора корневого подразделения
Во время развертывания вам будет предложено ввести идентификатор корневого подразделения, который используется для развертывания наборов StackSets во всех учетных записях. Чтобы найти его, выполните следующие действия.
1.Откройте консоль AWS Organizations.
2.Щелкните запись Корень в верхней части организационного дерева.
3.Скопируйте идентификатор. Он имеет формат r-xxxx.
Подробные инструкции см. в документации AWS о навигации по иерархии организации.
Разрешение на активацию доверенного доступа между CloudFormation и Organizations
Шаблон автоматически активирует доверенный доступ между CloudFormation и AWS Organizations (через пользовательский ресурс Lambda). Субъекту, выполняющему развертывание, должно быть разрешено вызывать cloudformation:ActivateOrganizationsAccess. Эта возможность включена в AdministratorAccess. Если вы используете ограниченный набор разрешений, убедитесь, что это действие явно разрешено.
|
Эти дополнительные требования применяются при использовании любого из вариантов шаблона DHMC.
Отсутствие конфликтующей конфигурации управления хостами по умолчанию (DHMC)
Если ранее вы использовали AWS SSM Quick Setup для настройки DHMC, даже частично, вы не сможете использовать подключение в масштабах всей организации с настройкой DHMC. Эти две конфигурации будут конфликтовать. В этом случае:
1.Используйте подключение организации без DHMC.
2.В существующей конфигурации SSM Quick Setup убедитесь, что функция DHMC активна во всех учетных записях участников и во всех регионах, где будет развернуто средство CWP.
Разрешения для SSM Quick Setup
В дополнение к базовым разрешениям организации для развертывающего субъекта необходимо следующее:
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•Разрешение на создание ролей, связанных со службами
Все это включено в AdministratorAccess. Шаблон создает объект Lambda, который выполняет эти действия автоматически. Вам не нужно запускать какие-либо команды вручную.
|
Включение защиты виртуальной машины (экземпляра EC2) в CWP для экземпляров AWS EC2 предполагает два уровня требований. Сначала экземпляр EC2 должен быть зарегистрирован как экземпляр под управлением SSM (настройка на уровне учетной записи), а затем каждый отдельный экземпляр должен соответствовать требованиям на уровне виртуальной машины, прежде чем на нем можно будет установить продукт защиты. Другие функции CWP работают в учетных записях, которые не соответствуют этим обязательным условиям.
Обязательные условия для проекта
Эти требования применяются на уровне учетной записи AWS. CWP настраивает их автоматически во время подключения, когда используется вариант шаблона DHMC. Для учетных записей, в которых конфигурация DHMC не была настроена во время подключения (или ранее), эти действия необходимо выполнить вручную, прежде чем можно будет включить защиту виртуальных машин.
•Экземпляр EC2 должен быть под управлением SSM
CWP развертывает продукт защиты ESET с помощью AWS Systems Manager (SSM). Чтобы средство SSM могло работать с экземпляром EC2, этот экземпляр должен быть зарегистрирован как экземпляр под управлением SSM. Рекомендуемый способ обеспечить это для всех экземпляров учетной записи — включить конфигурацию управления хостами по умолчанию (DHMC), которая автоматически регистрирует каждый экземпляр EC2 в учетной записи и регионе без необходимости в отдельном профиле экземпляра IAM в каждом экземпляре.
DHMC можно включить для каждого региона в консоли AWS в разделе Systems Manager > Fleet Manager > Управление учетной записью или в масштабах всей организации с помощью SSM Quick Setup. Подробности см. в документации AWS DHMC.
Требования на уровне виртуальной машины
Эти требования применяются к каждому экземпляру EC2 в отдельности. Если применяется настройка на уровне учетной записи, продукт защиты можно развернуть на экземпляре только в том случае, если он соответствует всем указанным далее условиям.
•Экземпляр EC2 должен иметь исходящий доступ к Интернету
Каждый экземпляр EC2, предназначенный для развертывания защиты, должен иметь исходящий доступ к Интернету. Для экземпляров в частных подсетях без шлюза NAT необходимо настроить исходящий доступ в Интернет, прежде чем можно будет развернуть защиту.
•Агент SSM Agent должен быть установлен и запущен
AWS SSM взаимодействует с экземплярами EC2 через агент SSM Agent. На большинстве предоставляемых компанией AWS AMI (Amazon Linux, Ubuntu Server, Windows Server) агент SSM Agent установлен предварительно. При использовании пользовательских или сторонних AMI убедитесь, что агент установлен и запущен.
Инструкции по установке и проверке состояния агента на запущенном экземпляре см. в документации AWS SSM Agent.
Чтобы развернуть работоспособную защиту на экземплярах EC2 для Linux в AWS, в защищаемой учетной записи или организации должно быть включено средство AWS Systems Manager, а на экземплярах EC2 должен быть установлен агент SSM Agent.
•Виртуальная машина должна работать под управлением поддерживаемой операционной системы
CWP может развертывать продукт защиты ESET только на экземплярах под управлением поддерживаемого дистрибутива ОС. Полный список поддерживаемых дистрибутивов ОС см. ниже.
•Виртуальная машина должна соответствовать системным требованиям продукта защиты
Каждая виртуальная машина, предназначенная для развертывания защиты, должна соответствовать минимальным требованиям к аппаратному и программному обеспечению для продукта защиты ESET.
Windows Server
oПроцессор: Intel или AMD, одноядерный, архитектура x64
oПамять: 256 МБ свободной оперативной памяти
oЖесткий диск: 700 МБ свободного места на диске
Linux
oПроцессор: Intel/AMD, x64 с 2 ядрами (виртуальный ЦП)
oПамять: 2 ГБ ОЗУ
oЖесткий диск: 700 МБ свободного места на диске
oGlibc 2.28 или более поздней версии
oЯдро Linux версии 4.18 или более поздней версии
oЛюбой языковой стандарт в кодировке UTF-8
oБезопасная загрузка должна быть отключена |
Настройка интеграции в веб-консоли ESET PROTECT
Щелкните Подключиться, чтобы пройти процесс подключения интеграции:
1.Общая настройка — введите имя, выберите способ: AWS Organizations (с корневым идентификатором организационной единицы) или Единая учетная запись AWS (с идентификатором учетной записи), введите описание клиента и щелкните Продолжить.
2.Управление хостами — выберите, включена ли конфигурация управления хостами по умолчанию в вашей учетной записи AWS.
3.CloudFormation — создайте стек в AWS (нажмите кнопку Запустить в AWS, чтобы проверить состояние стека или завершить настройку), а затем выберите Подтвердить состояние.
4.Сводка по интеграции — просмотрите сводку по интеграции с вашими настройками (Имя, Метод, Идентификатор учетной записи, Корзина ESET CWP S3, Описание клиента) и щелкните Готово.
|
|
По завершении интеграции (Состояние: активное) в разделе «Интеграция» можно будет увидеть синхронизированные виртуальные машины. Для этого выберите Компьютеры > дерево «Компании» > выберите организацию (статическую группу).
|
Развертывание
Поддерживаемые системные требования и операционные системы
Защиту ESET можно развернуть на виртуальных машинах, которые соответствуют системным требованиям для установки приложения безопасности ESET:
•ESET Server Security for Windows (виртуальные машины Windows);
•ESET Server Security for Linux (виртуальные машины Linux).
Автоматическое развертывание
По умолчанию автоматическое развертывание выключено. В разделе Конфигурация можно настроить, как решение ESET Cloud Workload Protection будет работать на виртуальных машинах, интегрированных из подключенных облачных сред.
Если настройка выполнена, каждые 15 минут происходит проверка того, есть ли в данной группе (целевом объекте) соответствующая требованиям виртуальная машина для начала развертывания. Если да, агент ESET Management, а затем и продукт безопасности будут установлены на виртуальной машине через несколько минут.
Журнал аудита содержит информацию о начале развертывания.
Развертывание вручную
Выберите компьютеры, на которых нужно включить продукт безопасности ESET. Подписка будет назначена автоматически.
1.Перейдите в раздел Компьютеры, выберите компанию (статическую группу), выведите список виртуальных машин.
2.Выберите виртуальную машину, нажмите кнопку с тремя точками 
, выберите элемент Модули платформы, щелкните Включить приложение безопасности ESET для облака.
3.Выбрать целевые объекты.
4.Подтвердите согласие с юридическими документами и щелкните Включить.
