ESET Cloud Workload Protection - Microsoft Azure、Amazon Web Services、Google Cloud Platform 主要功能
•通过同步资源组中组织的虚拟机,实现对云工作负载的信息呈现和保护。
•为新创建的实例手动或自动启用工作负载的安全保护部署。
•提供来自受保护工作负载的端点级安全指标,从而扩展对整个云环境中威胁的可见性。
•事件中提供扩展的资产上下文,并支持受保护计算机上的响应操作。
•引入更多云指标和遥测数据,扩展对云环境活动的可见性。
如何启用集成
先决条件
在开始 CloudFormation 模板部署前,请查看并完成适用于所选路径的所有先决条件。
无论您选择哪个模板,这些要求都适用。
帐户位于标准 AWS 分区中
仅支持标准 AWS 商业分区中的 AWS 组织和帐户。不支持其他分区(例如 AWS GovCloud 或 AWS China)中的帐户。
在受支持的 AWS 区域中部署
将 CloudFormation 模板部署在 AWS 默认启用的 AWS 区域之一(GovCloud 和中国区域不受支持):
美国东部(北弗吉尼亚州)- us-east-1
美国东部(俄亥俄州)- us-east-2
美国西部(北加利福尼亚州)- us-west-1
美国西部(俄勒冈州)- us-west-2
亚太地区(孟买)- ap-south-1
亚太地区(大阪)- ap-northeast-3
亚太地区(首尔)- ap-northeast-2
亚太地区(新加坡)- ap-southeast-1
亚太地区(悉尼)- ap-southeast-2
亚太地区(东京)- ap-northeast-1
加拿大(中部)- ca-central-1
欧洲(法兰克福)- eu-central-1
欧洲(爱尔兰)- eu-west-1
欧洲(伦敦)- eu-west-2
欧洲(巴黎)- eu-west-3
欧洲(斯德哥尔摩)- eu-north-1
南美洲(圣保罗)- sa-east-1
AWS 帐户权限
您用于部署 CloudFormation 堆栈的 AWS IAM 主体(用户或角色)必须拥有足够的权限才能创建模板预配的所有资源。
所需权限范围:AdministratorAccess,或允许创建以下内容的自定义策略:
•IAM 角色和托管策略
•S3 存储桶和存储桶策略
•CloudTrail 踪迹
•Lambda 函数(作为 CloudFormation 自定义资源调用)
•CloudFormation 堆栈和 StackSets
如果您不确定自己的凭据是否足够,请在继续操作之前与 AWS 管理员联系。
每个帐户/组织仅部署一次堆栈
每个模板都使用固定名称创建资源(例如,CwppServiceRole)。在同一帐户中部署其他堆栈将失败,并显示“资源已存在”错误。如果以前的部署失败或需要重新部署,请先删除现有 CloudFormation 堆栈。
显式拒绝策略中 CWP 服务角色的例外
如果您的 AWS 帐户或组织使用服务控制策略 (SCP)或基于资源的策略,其中包含在 aws:PrincipalARN 上具有 StringNotLike 条件的显式 Deny,则必须为 CWP 创建的 IAM 角色添加例外。如果没有此例外,拒绝策略将阻止 CWP 运行。
所需的例外:
•所有帐户
将以下角色添加到允许列表:arn:aws:iam::*:role/CwppServiceRole。
•管理帐户(仅限组织范围的部署)
对于组织范围的部署,还必须将角色添加到管理帐户允许列表:arn:aws:iam::*:role/CwppManagementServiceRole。
只需将该角色添加到管理帐户中基于资源的策略中。SCP 不适用于管理帐户,因此,此角色不需要进行 SCP 更新。
示例策略:
{
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotLike": {
"aws:PrincipalARN": "arn:aws:iam::*:role/CwppServiceRole"
}
}
}
部署 CloudFormation 堆栈前,请确保所需角色包含在任何此类策略的 StringNotLike 允许列表中。
CwppManagementServiceRole 仅与组织范围的部署相关,并且仅在管理帐户的基于资源的策略中。
|
|
EC2 实例必须在您计划部署 ESET 保护产品的任何实例上安装并运行 SSM 服务器代理(它预安装在大多数 AWS 提供的 AMI 上)。DHMC 可启用自动管理,但不安装 SSM 服务器代理。此要求也可在以后启用,并且在载入前不是必需的。
|
|
使用任一组织模板时,这些附加要求均适用。
从管理帐户部署
必须在登录 AWS 组织管理帐户时部署组织模板。不能将成员帐户用于此部署。
找到您的根组织单元 ID
在部署期间,系统将要求您提供根组织单元 ID,该 ID 用于将 StackSets 部署到所有帐户。要找到该信息:
1.打开 AWS 组织控制台。
2.单击组织树顶部的根条目。
3.复制 ID - 其格式为 r-xxxx。
有关详细说明,请参阅有关导航组织层次结构的 AWS 文档。
用于激活 CloudFormation 的权限 - 组织信任的访问
该模板会自动在 CloudFormation 和 AWS 组织之间激活可信访问(通过 Lambda 自定义资源)。必须允许部署主体调用 cloudformation:ActivateOrganizationsAccess。这包括在 AdministratorAccess 中。如果使用范围内的权限集,请确保显式允许此操作。
|
使用任一 DHMC 模板变体时,这些附加要求均适用。
没有冲突的默认主机管理配置 (DHMC)
如果您以前使用 AWS SSM 快速设置来配置 DHMC,即使是部分配置,也不能将组织级载入与 DHMC 设置一起使用。这两种配置将发生冲突。在这种情况下:
1.使用非 DHMC 组织载入。
2.在现有的 SSM 快速设置配置中,确保 DHMC 在所有成员帐户和将部署 CWP 的所有区域中都处于活动状态。
SSM 快速设置的权限
除基本组织权限外,部署主体还需要:
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•创建服务相关角色的权限
这些都包含在 AdministratorAccess 中。模板将创建一个 Lambda,它将自动执行这些步骤,您无需手动运行任何命令。
|
在 CWP 中为 AWS EC2 实例启用 VM(EC2 实例)保护涉及两个级别的要求。EC2 实例必须首先注册为 SSM 托管实例(帐户级设置),然后每个单独的实例都必须满足 VM 级要求,这样才能在实例上安装保护产品。其他 CWP 功能适用于不满足这些先决条件的帐户。
帐户先决条件
这些要求在 AWS 帐户级适用。使用 DHMC 模板变体时,CWP 将在载入期间自动配置要求。对于在载入期间(或之前)未设置 DHMC 的帐户,必须先手动完成这些步骤,然后才能启用 VM 保护。
•支持保护部署的区域
可将 VM 保护部署到以下 AWS 区域中的 EC2 实例,无需额外手动配置默认主机管理配置 (DHMC):
美国东部(俄亥俄州)- us-east-2
美国东部(北弗吉尼亚州)- us-east-1
美国西部(北加利福尼亚州)- us-west-1
美国西部(俄勒冈州)- us-west-2
亚太地区(孟买)- ap-south-1
亚太地区(首尔)- ap-northeast-2
亚太地区(新加坡)- ap-southeast-1
亚太地区(悉尼)- ap-southeast-2
亚太地区(东京)- ap-northeast-1
加拿大(中部)- ca-central-1
欧洲(法兰克福)- eu-central-1
欧洲(斯德哥尔摩)- eu-north-1
欧洲(爱尔兰)- eu-west-1
欧洲(伦敦)- eu-west-2
欧洲(巴黎)- eu-west-3
南美洲(圣保罗)- sa-east-1
•EC2 实例必须是 SSM 托管实例
CWP 通过 AWS Systems Manager (SSM) 部署 ESET 保护产品。要使 SSM 读取 EC2 实例,该实例必须注册为 SSM 托管实例。确保帐户中所有实例都符合此要求的推荐方法是启用默认主机管理配置 (DHMC),它会自动注册帐户和区域中的每个 EC2 实例,而无需在每个实例上使用专用 IAM 实例配置文件。
DHMC 可以在 AWS 控制台的 Systems Manager > Fleet Manager > 帐户管理下按区域启用,也可以通过 SSM 快速设置在组织级启用。有关详细信息,请参阅 AWS DHMC 文档。
VM 级要求
这些要求适用于每个单独的 EC2 实例。帐户级设置就绪后,只有当实例满足以下所有条件时,才能向其部署保护产品。
•EC2 实例必须具有出站 Internet 访问权限
针对保护部署的每个 EC2 实例都必须具有出站 Internet 访问权限。对于没有 NAT 网关的私有子网中的实例,必须先配置出站 Internet 访问,然后才能部署保护。
•必须安装并运行 SSM 服务器代理
AWS SSM 通过 SSM 服务器代理与 EC2 实例通信。AWS 提供的大多数 AMI(Amazon Linux、Ubuntu Server、Windows Server)都已预安装 SSM 服务器代理。对于自定义或第三方 AMI,请验证服务器代理是否已安装并正在运行。
有关安装说明以及如何验证正在运行的实例上的服务器代理状态,请参阅 AWS SSM 服务器代理文档。
要对 AWS 中适用于 Linux 的 EC2 实例进行功能性的保护部署,受保护的帐户或组织需要启用 AWS System Manager,并且 EC2 实例需要安装 SSM 服务器代理。
•VM 必须运行受支持的操作系统
CWP 只能在运行受支持操作系统发行版的实例上部署 ESET 保护产品。有关支持的操作系统发行版的完整列表,请参阅下面的参考。
•VM 必须满足保护产品系统要求
针对保护部署的每个 VM 都必须满足 ESET 保护产品的最低硬件和软件要求。
Windows Server
o处理器:Intel 或 AMD 单核 x64
o内存:256 MB 可用 RAM
o硬盘驱动器:700 MB 可用硬盘空间
Linux
o处理器:2 核 (vCPU) Intel/AMD x64
o内存:2 GB RAM
o硬盘驱动器:700 MB 可用硬盘空间
oGlibc 2.28 或更高版本
oLinux 内核版本 4.18 或更高版本
o任何 UTF-8 编码区域设置
o必须禁用安全启动
o必须安装 curl 或 wget
o其他包依赖于 Live 安装程序,该安装程序需要安装其依赖项/库才能运行:
oglibc
olibgcc
oopenssl (libssl)
ocurl (libcurl)
otar |
ESET PROTECT Web 控制台中的集成设置
单击连接,完成连接集成流程:
1.常规设置 - 键入名称,选择方法:AWS 组织(具有根组织单元 ID)或 AWS 单一帐户(具有帐户 ID),键入客户端描述并单击继续。
2.主机管理 - 选择您的 AWS 帐户中是否启用默认主机管理配置。
3.CloudFormation - 在 AWS 中创建堆栈(单击在 AWS 中启动按钮可查看栈状态或完成设置),然后选择确认状态。
4.集成摘要 - 使用您的设置(名称、方法、帐户 ID、ESET CWP S3 存储桶、客户端描述)查看集成摘要,然后单击完成。
|
|
集成完成后(状态:活动),您可以在“集成”中的计算机 > 公司树 > 所选组织(静态组)中查看已同步的虚拟机。
|
部署
系统要求和支持的操作系统
可以将 ESET 保护部署到满足安装 ESET 安全应用程序的系统要求的虚拟机:
•ESET Server Security for Windows (Windows VM)
•ESET Server Security for Linux (Linux VM)
自动部署
默认情况下,自动部署处于关闭状态。在配置部分,您可以定义 ESET Cloud Workload Protection 在通过连接的云环境集成的虚拟机上的行为方式。
如果已配置,则每 15 分钟检查给定组(目标)中是否有符合条件的虚拟机以启动部署。如果有,虚拟机上将在几分钟内先后安装 ESET Management Agent 和安全产品。
审核日志包含有关启动部署的信息。
手动部署
选择要启用 ESET 安全产品的计算机。订阅将自动分配。
1.转到计算机 > 选择“公司(静态组)”> 列出虚拟机。
2.选择该虚拟机 > 单击三个点 
按钮 > 选择平台模块 > 单击启用适用于云的 ESET 安全应用程序。
3.选择目标。
4.选择同意法律文档,然后单击启用。
