ESET Cloud Workload Protection — основні функції Microsoft Azure, Amazon Web Services Google Cloud Platform
•Забезпечує видимість і захист хмарних робочих навантажень завдяки синхронізації віртуальних машин, організованих у групи ресурсів.
•Дає змогу вручну або автоматично розгортати захист робочих навантажень для новостворених екземплярів.
•Надає індикатори безпеки на рівні робочої станції із захищених робочих навантажень, розширюючи видимість загроз у хмарних середовищах.
•Надає розширений контекст щодо активів в інцидентах і підтримує дії з реагування на захищених комп’ютерах.
•Отримує більше хмарних індикаторів і телеметричних даних, розширюючи видимість активності хмарного середовища.
Процедура ввімкнення інтеграції
Попередні вимоги відсутні
Перегляньте й виконайте всі попередні вимоги, які застосовуються до вибраного шляху, перш ніж запускати розгортання шаблону CloudFormation.
Ці вимоги застосовуються незалежно від вибраного шаблону.
Обліковий запис зберігається в стандартному розділі AWS
Підтримуються лише організації і облікові записи AWS в стандартному комерційному розділі AWS. Облікові записи в інших розділах (наприклад, AWS GovCloud або AWS Китай) не підтримуються.
Дозволи для облікового запису AWS
Суб’єкт AWS IAM (користувач або роль), якого ви використовуєте для розгортання стека CloudFormation, повинен мати достатні дозволи на створення всіх ресурсів шаблону.
Необхідні дозволи: AdministratorAccess або спеціальна політика, яка дає змогу створювати:
•ролі й керовані політики IAM;
•контейнери S3 й політики контейнерів;
•траси CloudTrail;
•функції Lambda (викликаються як спеціальні ресурси CloudFormation);
•стеки CloudFormation і StackSets.
Якщо ви не впевнені, чи достатньо облікових даних, зверніться до адміністратора AWS, перш ніж продовжити.
Розгортайте по одному стеку на обліковий запис/організацію
Кожен шаблон створює ресурси з фіксованими іменами (наприклад, CwppServiceRole). Розгортання другого стека в одному обліковому записі завершиться помилкою ("ресурс уже існує"). Якщо попереднє розгортання не вдалося виконати або його потрібно повторити, спочатку видаліть наявний стек CloudFormation.
Регіон AWS із підтримкою CloudTrail
Розгорніть стек у регіоні AWS, який підтримує багаторегіональні траси CloudTrail. Усі стандартні комерційні регіони AWS відповідають вимогам. Регіони GovCloud і Китай не підтримуються.
|
|
В екземплярах EC2 повинен бути інстальований і запущений агент SSM (він попередньо інстальований на більшості AMI від AWS), якщо ви плануєте розгорнути продукт ESET із безпеки. DHMC вмикає автоматичне керування, але не інсталює агент SSM. Цю вимогу також можна ввімкнути пізніше. Вона не є обов’язковою перед реєстрацією.
|
|
Ці додаткові вимоги застосовуються в разі використання будь-якого шаблону організації.
Розгортання з облікового запису керування
Шаблони організацій потрібно розгортати під час входу в обліковий запис керування Організаціями AWS. Для цього розгортання не можна використовувати обліковий запис учасника.
Знайдіть ідентифікатор кореневої організаційної одиниці
Під час розгортання вам буде запропоновано вказати ідентифікатор вашої кореневої організаційної одиниці, який використовується для розгортання StackSets у всіх облікових записах. Щоб його знайти, виконайте наведені нижче кроки.
1.Відкрийте консоль організацій AWS.
2.Натисніть запис Коренева у верхній частині дерева організації.
3.Скопіюйте ідентифікатор — він має формат r-xxxx.
Детальні інструкції наведено в документації AWS щодо навігації в ієрархії організації.
Дозвіл на активацію довіреного доступу між CloudFormation і Організаціями
Шаблон автоматично активує довірений доступ між CloudFormation і Організаціями AWS (через спеціальний ресурс Lambda). Суб’єкт, який виконує розгортання, повинен мати дозвіл викликати команду cloudformation:ActivateOrganizationsAccess. Її включено в AdministratorAccess. Якщо ви використовуєте набір дозволів, переконайтеся, що маєте окремий дозвіл на це.
|
Ці додаткові вимоги застосовуються, якщо використовується будь-який варіант шаблону DHMC.
Немає конфліктних конфігурацій керування хостом за замовчуванням (DHMC)
Якщо ви раніше хоча б частково використовували AWS SSM Quick Setup для налаштування DHMC, то не можете виконувати впровадження в масштабах організації з налаштуванням DHMC. Ці дві конфігурації конфліктуватимуть. У такому випадку:
1.Використовуйте варіант упровадження організації, не пов’язаний із DHMC.
2.Переконайтеся, що в наявній конфігурації SSM Quick Setup активовано DHMC у всіх облікових записах учасників і всіх регіонах, де буде розгорнуто CWP.
Дозволи для SSM Quick Setup
Окрім базових дозволів організації, суб’єкту, який виконує розгортання, необхідні такі:
•ssm-quicksetup:UpdateServiceSettings;
•organizations:EnableAWSServiceAccess;
•дозвіл на створення ролей, пов’язаних зі службами.
Усі вони входять до складу AdministratorAccess. Шаблон створює команду Lambda, яка виконує ці кроки автоматично. Вам не потрібно виконувати жодних команд вручну.
|
Увімкнення захисту віртуальної машини (екземпляра EC2 CWP AWS) в окремих екземплярах EC2 передбачає два рівні вимог. Спочатку екземпляр EC2 потрібно зареєструвати як екземпляр під керуванням SSM (налаштування на рівні облікового запису), а потім кожен окремий екземпляр має відповідати вимогам рівня віртуальної машини, перш ніж на них можна буде інсталювати продукт із безпеки. Інші функції CWP працюють для облікових записів, які не відповідають цим попереднім вимогам.
Попередні вимоги до проєкту
Ці вимоги застосовуються на рівні облікового запису AWS. CWP налаштовує їх автоматично під час упровадження, коли використовується варіант шаблону DHMC. Для облікових записів, у яких DHMC не було налаштовано під час упровадження (або раніше), ці кроки потрібно виконати вручну, перш ніж можна буде ввімкнути захист віртуальної машини.
•Екземпляр EC2 має бути під керуванням SSM
CWP розгортає продукт ESET із безпеки за допомогою AWS Systems Manager (SSM). Щоб у SSM був доступ до екземпляра EC2, його потрібно зареєструвати як екземпляр під керуванням SSM. Рекомендований спосіб забезпечити це для всіх екземплярів в обліковому записі — увімкнути конфігурацію керування хостом за замовчуванням (DHMC), яка автоматично реєструє кожен екземпляр EC2 в обліковому записі й регіоні, не вимагаючи окремого профілю IAM для кожного екземпляра.
DHMC можна ввімкнути для кожного регіону на консолі AWS у розділі Systems Manager (Менеджер систем) > Fleet Manager (Керування парком) > Account management (Керування обліковими записами) або для всієї організації за допомогою SSM Quick Setup. Докладніше див. в документації AWS DHMC.
Вимоги на рівні віртуальної машини
Ці вимоги застосовуються до кожного окремого екземпляра EC2. Якщо налаштовання виконано на рівні облікового запису, продукт із безпеки можна розгорнути в екземплярі, лише якщо він відповідає всім наведеним нижче умовам.
•Екземпляр EC2 повинен мати вихідний доступ до Інтернету
Кожен екземпляр EC2, призначений для розгортання захисту, повинен мати вихідний доступ до Інтернету. Для екземплярів у приватних підмережах без шлюзу NAT перед розгортанням захисту необхідно налаштувати вихідний доступ до Інтернету.
•Має бути інстальовано й запущено агент SSM
AWS SSM обмінюється даними з екземплярами EC2 через агент SSM. Більшість AMI від AWS (Amazon Linux, Ubuntu Server, Windows Server) включають попередньо інстальований агент SSM. Для спеціальних або сторонніх AMI потрібно переконатися, що агент інстальований і працює.
Інструкції з інсталяції і перевірки статусу агента на запущеному екземплярі див. в документації до агента AWS SSM.
Щоб мати функціональне розгортання захисту в екземплярах EC2 для Linux в AWS, для захищеного облікового запису або організації має бути ввімкнено Менеджер систем AWS, а для екземплярів EC2 має бути інстальовано агент SSM.
•Віртуальна машина повинна працювати з підтримуваною операційною системою
CWP може розгорнути продукт ESET із безпеки лише в екземплярах із підтримуваним дистрибутивом ОС. Повний список підтримуваних дистрибутивів ОС див. нижче.
•Віртуальна машина має відповідати системним вимогам продукту з безпеки
Кожна віртуальна машина, призначена для розгортання захисту, має відповідати мінімальним вимогам до апаратного та програмного забезпечення для продукту ESET із безпеки.
Windows Server
oПроцесор: Одноядерний процесор Intel або AMD x64
oПам’ять: 256 МБ вільної оперативної пам'яті
oЖорсткий диск: 700 МБ вільного місця на диску
Linux
oПроцесор: Процесор Intel/AMD x64 з 2 ядрами (vCPU)
oПам’ять: 2 ГБ оперативної пам'яті
oЖорсткий диск: 700 МБ вільного місця на диску
oGlibc 2.28 або новішої версії
oЯдро Linux 4.18 або новішої версії
oМова з кодуванням UTF-8
oSecure Boot потрібно вимкнути |
Налаштування інтеграції у вебконсолі ESET PROTECT
Натисніть Підключити, щоб виконати процес підключення інтеграції:
1.Загальне налаштування: введіть дані в розділі Назва, виберіть спосіб: AWS Organizations (указавши ідентифікатор одиниці кореневої організації) або Єдиний обліковий записAWS (указавши ідентифікатор облікового запису). Введіть опис клієнта й натисніть Продовжити.
2.Керування хостом: виберіть, чи потрібно вмикати у вашому обліковому записі AWS конфігурацію керування хостом за замовчуванням.
3.CloudFormation: створіть стек в AWS (натисніть кнопку Запустити вAWS, щоб перевірити стан стека або завершити налаштування), а потім виберіть Підтвердити статус.
4.Підсумок інтеграції: перегляньте Підсумок інтеграції, де вказані ваші налаштування (Назва, Спосіб, Ідентифікатор облікового запису, Контейнер S3 ESET CWP, Опис клієнта) і натисніть Готово.
|
|
Після завершення інтеграції (Статус: активна) ви зможете побачити синхронізовані віртуальні машини в розділі "Інтеграція". Для цього натисніть Комп’ютери > "Дерево компаній" > "Вибрана організація (статична група)".
|
Розгортання
Підтримувані системні вимоги й операційні системи
Захист ESET можна розгорнути на віртуальних машинах, які відповідають системним вимогам для інсталяції програми ESET із безпеки:
•ESET Server Security for Windows (віртуальні машини Windows)
•ESET Server Security for Linux (віртуальні машини Linux)
Автоматичне розгортання
За замовчуванням автоматичне розгортання вимкнено. У розділі Конфігурація можна визначити, як ESET Cloud Workload Protection працюватиме на віртуальних машинах, інтегрованих із підключених хмарних середовищ.
Якщо налаштовано, кожні 15 хвилин перевіряється, чи є у вказаній (цільовій) групі віртуальна машина, яка відповідає вимогам для запуску розгортання. Якщо така машина є, через кілька хвилин на віртуальній машині буде інстальовано агент ESET Management, а потім — продукт із безпеки.
Журнал аудиту містить інформацію про початок розгортання.
Ручне розгортання
Виберіть комп’ютери, на яких потрібно ввімкнути продукт із безпеки ESET. Передплату буде призначено автоматично.
1.Перейдіть до розділу Комп’ютери, виберіть "Компанія (статична група)" і відобразіть список віртуальних машин.
2.Виберіть віртуальну машину, натисніть кнопку з трьома крапками 
, виберіть Модулі платформи й клацніть Увімкнути програму ESET із безпеки для хмари.
3.Вибрати об'єкти.
4.Установіть прапорець біля пункту Прийняти юридичні документи й натисніть Увімкнути.
