ESET Cloud Workload Protection—Microsoft Azure,Amazon Web Services,Google Cloud Platform 主要功能
•藉由同步化資源群組中組織的虛擬機器,達到對雲端工作負載的可視性和防護。
•可手動或自動為新建立的執行個體部署安全性防護,以保護工作負載。
•提供來自受保護工作負載的端點層級安全性指示器,擴展對雲端環境中威脅的可視性。
•事件中提供延伸的資產內容並支援對受保護機器採取回應動作。
•擷取更多雲端指示器與遙測資料,擴大對雲端環境活動的可視性。
如何啟用整合
先決條件
在開始 CloudFormation 範本部署之前,請檢閱並完成適用於您所選路徑的所有先決條件。
無論您選擇哪個範本,這些需求都適用。
帳戶位於標準 AWS 分割區中
僅支援標準 AWS 商業分割區中的 AWS 組織和帳戶。不支援其他分割區 (例如 AWS GovCloud 或 AWS China) 中的帳戶。
在支援的 AWS 區域進行部署
將 CloudFormation 範本部署到 AWS 預設啟用的其中一個 AWS 區域 (不支援 GovCloud 和中國區域):
美國東部 (北維吉尼亞)—us-east-1
美國東部 (俄亥俄)—us-east-2
美國西部 (北加利福尼亞)—us-west-1
美國西部 (俄勒岡)—us-west-2
亞太地區 (孟買)—ap-south-1
亞太地區 (大阪)—ap-northeast-3
亞太地區 (首爾)—ap-northeast-2
亞太地區 (新加坡)—ap-southeast-1
亞太地區 (雪梨)—ap-southeast-2
亞太地區 (東京)—ap-northeast-1
加拿大 (中部)—ca-central-1
歐洲 (法蘭克福)—eu-central-1
歐洲 (愛爾蘭)—eu-west-1
歐洲 (倫敦)—eu-west-2
歐洲 (巴黎)—eu-west-3
歐洲 (斯德哥爾摩)—eu-north-1
南美洲 (聖保羅)—sa-east-1
AWS 帳戶權限
您用於部署 CloudFormation 堆疊的 AWS IAM 主體 (使用者或角色) 必須具有足夠的權限來建立範本佈建的所有資源。
所需權限範圍:AdministratorAccess,或是允許建立下列項目的自訂原則:
•IAM 角色與受管理原則
•S3 儲存貯體和儲存貯體原則
•CloudTrail 追蹤
•Lambda 函數 (以 CloudFormation 自訂資源形式調用)
•CloudFormation 堆疊與 StackSets
如果您不確定您的憑證是否足夠,請在繼續進行之前諮詢您的 AWS 管理員。
每個帳戶/組織只需部署一次堆疊
每個範本都會建立具有固定名稱的資源 (例如 CwppServiceRole)。在相同帳戶中部署第二個堆疊將會失敗,並且出現資源已存在錯誤。如果先前的部署失敗或需要重新部署,請先刪除現有的 CloudFormation 堆疊。
明確拒絕原則中的 CWP 服務角色例外
如果您的 AWS 帳戶或組織使用服務控制原則 (SCP) 或基於資源的原則,並且其中包含針對 aws:PrincipalARN 使用 StringNotLike 條件的明確 Deny,則您必須為 CWP 所建立的 IAM 角色新增例外。如果沒有此例外,拒絕原則將會封鎖 CWP 作業。
需要的例外:
•所有帳戶
將下列角色新增到允許清單:arn:aws:iam::*:role/CwppServiceRole。
•管理帳戶 (僅限組織範圍內的部署)
對於組織範圍內的部署,您還必須將其新增到管理帳戶允許清單:arn:aws:iam::*:role/CwppManagementServiceRole。
只需將此角色新增到管理帳戶中基於資源的原則即可。SCP 不適用於管理帳戶,因此角色不需要 SCP 更新。
範例原則:
{
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotLike": {
"aws:PrincipalARN": "arn:aws:iam::*:role/CwppServiceRole"
}
}
}
在部署 CloudFormation 堆疊之前,請確保將所需的角色包含在任何此類原則的 StringNotLike 允許清單中。
CwppManagementServiceRole 僅與組織範圍內的部署相關,並且僅在管理帳戶的基於資源的原則中適用。
|
|
如果您計劃在任何執行個體上部署 ESET 防護產品,則EC2 執行個體必須安裝並執行 SSM 代理程式 (大多數 AWS 提供的 AMI 上都已預先安裝該代理程式)。DHMC 啟用自動管理,但不安裝 SSM 代理程式。此需求也可稍後啟用,且在上線之前是非強制的。
|
|
當使用任何一種組織範本時,這些額外需求皆適用。
從管理帳戶部署
組織範本必須在登入您的 AWS 組織管理帳戶時進行部署。此部署無法使用成員帳戶。
找出您的根組織單位 ID
部署期間,系統會要求您提供根組織單位 ID,該 ID 用於部署 StackSets 到所有的帳戶。若要尋找它:
1.開啟 AWS 組織主控台。
2.按一下組織樹狀結構頂端的 [根] 項目。
3.複製 ID—格式為 r-xxxx。
請參閱有關瀏覽您組織階層的 AWS 文件以取得詳細指示。
啟動 CloudFormation 的權限 – 組織信任存取
範本會自動啟動 CloudFormation 與 AWS組織之間的信任存取 (透過 Lambda 自訂資源)。必須允許部署主體呼叫 cloudformation:ActivateOrganizationsAccess。這包含在 AdministratorAccess 中。如果您使用具有範圍的權限集合,請確保這個動作是明確允許的。
|
當使用任何一種 DHMC 範本變體時,這些額外需求皆適用。
無衝突的預設主機管理配置 (DHMC)
如果您之前使用過 AWS SSM 快速設定來設定 DHMC,即使是部分配置,您也無法使用具有 DHMC 設定的組織範圍內上線。這兩種配置會互相衝突。在這種情況下:
1.使用非 DHMC 組織上線。
2.在您現有的 SSM 快速設定配置中,請確保 DHMC 在所有成員帳戶和所有將要部署的 CWP 區域中都處於作用中狀態。
SSM 快速設定的權限
除了基本組織權限以外,部署主體還需要:
•ssm-quicksetup:UpdateServiceSettings
•organizations:EnableAWSServiceAccess
•建立服務連結角色的權限
這些都包含在 AdministratorAccess 中。此範本會自動建立執行這些步驟的 Lambda,您無需手動執行任何命令。
|
在 CWP 中針對 AWS EC2 執行個體啟用虛擬機器 (EC2 執行個體) 防護,涉及兩個層級的需求。首先必須將 EC2 執行個體註冊為 SSM 管理的執行個體 (帳戶層級設定),然後每個執行個體都必須符合 VM 層級需求,才能在其上安裝防護產品。其他 CWP 功能則適用於不符合這些先決條件的帳戶。
帳戶先決條件
這些需求適用於 AWS 帳戶層級。當使用 DHMC 範本變體時,CWP 會在上線期間中自動配置這些需求。對於在上線期間 (或之前) 未設定 DHMC 的帳戶,必須手動完成這些步驟才能啟用虛擬機器防護。
•防護部署的支援區域
虛擬機器防護可以部署到下列 AWS 區域中的 EC2 執行個體,無需額外手動配置預設主機管理配置 (DHMC):
美國東部 (俄亥俄)—us-east-2
美國東部 (北維吉尼亞)—us-east-1
美國西部 (北加利福尼亞)—us-west-1
美國西部 (俄勒岡)—us-west-2
亞太地區 (孟買)—ap-south-1
亞太地區 (首爾)—ap-northeast-2
亞太地區 (新加坡)—ap-southeast-1
亞太地區 (雪梨)—ap-southeast-2
亞太地區 (東京)—ap-northeast-1
加拿大 (中部)—ca-central-1
歐洲 (法蘭克福)—eu-central-1
歐洲 (斯德哥爾摩)—eu-north-1
歐洲 (愛爾蘭)—eu-west-1
歐洲 (倫敦)—eu-west-2
歐洲 (巴黎)—eu-west-3
南美洲 (聖保羅)—sa-east-1
•EC2 執行個體必須是 SSM 管理的執行個體
CWP 透過 AWS 系統管理員 (SSM) 部署 ESET 防護產品。若要讓 SSM 能夠存取 EC2 執行個體,則該執行個體必須註冊為 SSM 管理的執行個體。為了確保帳戶中的所有執行個體都能達到這一點,建議的方式是啟用預設主機管理配直 (DHMC),其會自動註冊帳戶和區域中的每個 EC2 執行個體,而無需在每個執行個體上使用專用的 IAM 執行個體設定檔。
DHMC 可以在 AWS 主控台的 [Systems Manager] > [Fleet Manager] > [帳戶管理] 下按照區域啟用,也可以透過 SSM 快速設定在組織範圍內啟用。請參閱 AWS DHMC 文件以取得詳細資料。
虛擬機器層級需求
這些需求適用於每個個別 EC2 執行個體。當帳戶層級設定完成後,只有符合以下所有條件,才能將防護產品部署到執行個體。
•EC2 執行個體必須具備對外網際網路存取權
每個用於防護部署的 EC2 執行個體都必須具有對外網際網路存取權。對於沒有 NAT 閘道的私人子網路中的執行個體,必須先配置對外網際網路存取權,然後才能部署防護。
•必須安裝並執行 SSM 代理程式
AWS SSM 透過 SSM 代理程式與 EC2 執行個體進行通訊。大多數 AWS 提供的 AMI (Amazon Linux、Ubuntu Server、Windows Server) 都包含預先安裝的 SSM 代理程式。對於自訂或第三方 AMI,請確認代理程式已安裝並執行。
請參閱 AWS SSM 代理程式文件,以了解安裝指示以及如何驗證執行個體中的代理程式狀態。
若要在 AWS 中對 Linux 的 EC2 執行個體進行功能性防護部署,受保護的帳戶或組織需要啟用 AWS System Manager,且 EC2 執行個體需要安裝 SSM 代理程式。
•虛擬機器必須執行支援的作業系統
CWP 只能在執行支援作業系統發行版本的執行個體上部署 ESET 防護產品。如需支援的作業系統發行版本的完整清單,請參閱下方的參考資料。
•虛擬機器必須符合防護產品系統的需求
每個用於防護部署的虛擬機器都必須滿足 ESET 防護產品的硬體和軟體最低需求。
Windows Server
o處理器:Intel 或 AMD 單核心 x64
o記憶體:256 MB 的可用記憶體
o硬碟:700 MB 的可用磁碟空間
Linux
o處理器:Intel/AMD x64 雙核心 (vCPU)
o記憶體:2 GB 的記憶體
o硬碟:700 MB 的可用磁碟空間
oGlibc 2.28 或更新版本
oLinux 核心版本 4.18 或更新版本
o任何 UTF-8 編碼地區設定
o必須停用安全開機
ocurl 或 wget 必須安裝
o其他套件依賴 Live Installer,而 Live Installer 必須安裝其相依性/程式庫才能執行:
oglibc
olibgcc
oopenssl (libssl)
ocurl (libcurl)
otar |
Web 主控台中的 ESET PROTECT 整合設定
按一下 [連接] 以進行 [連接整合] 流程:
1.一般設定—輸入 [名稱],選取一個方法:AWS 組織 (具有根組織單位 ID) 或 AWS 單一帳戶 (具有帳戶 ID)、輸入 [用戶端說明] 並按一下 [繼續]。
2.主機管理—如果您的 AWS 帳戶已啟用預設主機管理設定,請選取此選項。
3.CloudFormation—在 AWS 建立堆疊 (按一下 [在 中啟動AWS] 按鈕,查看堆疊狀態或完成設定),然後選取 [確認狀態]。
4.整合摘要—以您的設定檢閱 [整合摘要] ([名稱]、[方法]、[帳戶 ID]、[ESET CWP S3 儲存貯體]、[用戶端說明]),然後按一下 [完成]。
|
|
整合完成後 (狀態:作用中),你可以在 [電腦] > [公司] 樹狀結構 > 所選組織 (靜態群組) 中的 [整合] 看到已同步的虛擬機器。
|
部署
系統需求與支援的作業系統
您可以將 ESET 防護部署到符合 ESET 安全性應用程式安裝系統需求的虛擬機器上:
•ESET Server Security for Windows (Windows 虛擬機器)
•ESET Server Security for Linux (Linux 虛擬機器)
自動部署
預設情況下,自動部署為關閉。您可以在 [設定] 區段,定義在已連接雲端環境中虛擬機器中,ESET Cloud Workload Protection 的行為模式。
如果已配置的話,則每隔 15 分鐘檢查指定群組 (目標) 中是否有符合資格的虛擬機器以開始部署。如果是的話,將於幾分鐘內在虛擬機器上安裝 ESET Management 代理程式及安全性產品。
審核防護記錄包含關於開始部署的資訊。
手動部署
選取您要啟用 ESET 安全性產品的電腦。將自動指派訂閱。
1.前往 [電腦] > 選取公司 (靜態群組) > 列出虛擬機器。
2.選取虛擬機器 > 按一下三點 
按鈕 > 選取 [平台模組] > 按一下 [啟用適用於雲端的 ESET 安全性應用程式]。
3.選取 [目標]。
4.選取以同意 [法律文件] 並按一下 [啟用]。
