Jak ustawić integrację GravityZone z Amazon EC2 używając roli cross-account

Jak ustawić integrację GravityZone z Amazon EC2 używając roli cross-account

Bitdefender Security for Amazon Web Services jest rozwiązaniem bezpieczeństwa zaprojektowanym dla infrastruktur chmurowych, oraz zintegrowanym z GravityZone Cloud Control Center. Kompleksowe rozwiązanie Bitdefender Security for AWS ochrania instancje Amazon EC2 uruchomione na systemach operacyjnych Windows, oraz Linux.

Jeśli potrzebujesz subskrybować Bitdefender Security for AWS z Amazon Web Services Marketplace, zajrzyj do tego artykułu.

Ten artykuł opisuje, jak zintegrować konto Amazon Web Services z GravityZone Control Center poprzez używanie roli cross-account.

Przegląd

Administratorzy GravityZone mogą integrować Control Center z Amazon EC2, poprzez używanie roli cross-account powiązanej z użytkownikiem IAM (Identity and Access Management).

Aby dowiedzieć się więcej na temat IAM zajrzyj do artykułu dostarczonego przez Amazon Web Services.

Ta procedura zastępuje starą metodę integracji bazującej na parze kluczy AWS, oraz odzwierciedla najnowszą wersję API dostarczoną przez AWS.

Integracja GravityZone z Amazon EC2 sugeruje następujące elementy bezpieczeństwa:

Account ID – unikalny identyfikator konta Bitdefender AWS. Identyfikator jest konieczny dla użytkownika IAM do stworzenia określonej roli dostępu cross-account dla GravityZone.

External ID – unikalny identyfikator powiązany z Twoją firmą GravityZone, używany ze względów bezpieczeństwa, oraz niezbędny do stworzenia specyficznej roli dostępu do cross-account w GravityZone

ARN (Amazon Resource Name) – unikalny identyfikator dla zasobów AWS powiązanych z rolą załączoną do konta użytkownika AWS.

Uwaga:

Zaleca się ustawienie integracji Amazona używając konta użytkownika IAM stworzonego w określonym celu. Użytkownik IAM wymaga uprawnienia IAMFullAccess, aby być zdolnym do stworzenia roli wymaganej dla integracji AWS w GravityZone.

Wymagania wstępne

Przed rozpoczęciem konfiguracji integracji AWS:

– Upewnij się, że masz w ręku właściwe poświadczenia konta użytkownika AWS.

– Otwórz Konsolę AWS, oraz GravityZone Control Center, w dwóch kartach przeglądarki, w tym samym czasie. Będziesz potrzebował pracować na obu z nich, aby stworzyć integrację AWS z powodzeniem.

Zanim zaczniesz proces , upewnij się, że zmieniłeś limit czasu sesji w Control Center > Moje Konto z 15 minut na co najmniej 1 godzinę. Jeśli sesja wygaśnie, będziesz musiał rozpocząć ponownie kroki integracji.

Integrowanie GravityZone z Amazon Web Services

1. Zaloguj się do Control Center za pomocą poświadczeń GravityZone.

2. W prawym, górnym rogu konsoli wejdź w Integracje.

3. Jeśli nie masz aktywnej integracji, kliknij Dodaj > Dodaj Integracja Amazon EC2. Otworzy się okno Ustawienia integracji Amazon EC2.

4. W polu External ID, kliknij przycisk Generate.

5. Otwórz nową kartę w przeglądarce, a następnie zaloguj się do konsoli AWS.

6. Kliknij Services w górnej części konsoli AWS, a następnie wybierz Security -> Identity and Compliance -> IAM.

7. Po lewej stonie menu, kliknij Roles. Wyświetli się nowa strona.

8. Kliknij na przycisk Create role.

9. Wybierz Another AWS account.

10. Przejdź do Control Center i skopiuj Account ID z okna Amazon EC2 Integration Settings .

11. Wróć do konsoli AWS, a następnie wklej łańcuch znaków w pole Account ID.

12. Wybierz Require external ID (Best practice when a third party will assume this role).

13. Zmień na Control Center, a następnie skopiuj External ID z okna Amazon EC2 Integration Settings. Możesz zrobić to na dwa sposoby:

a. Zaznacz ciąg znaków o wciśnij CTRL + C.

b. Kliknij ikonkę copy to clipboard na końcu łańcucha znaków.

14. Wróć do konsoli AWS, a następnie wklej ciąg znaków w polu External ID.

15. Kliknij Next: Permissions.

16. Zaznacz zezwolenie AmazonEC2ReadOnlyAccess, a następnie kliknij Next: Review.

17. Na nowej stronie wprowadź nazwę, oraz opis w wymaganych polach.

18. Wybierz Create Role. Zobaczysz listę wszystkich istniejących ról. Zaczekaj około 1 minuty na zmiany, aby rozszerzyć je na wszystkie regiony AWS.

19. Kliknij na nazwę roli, aby zobaczyć szczegóły.

20. Skopiuj ARN.

21. Zmień na kartę z Control Center, a następnie wklej ARN do odpowiedniego pola.

22. Kliknij Zapisz.

GravityZone zaimportuje instancje Amazon EC2 w Sieci, gdzie będą widoczne dla regionów, oraz stref dostępności.

Control Center automatycznie synchronizuje się z katalogiem Amazon EC2 co każde 15 minut. Można również ręcznie zsynchronizować z katalogiem Amazon używając przycisku Synchronizacja z Amazon EC2 umieszczonego w górnej części strony Sieć.

GravityZone Control Center również synchronizuje się z konsolą AWS za każdym razem, kiedy klikniesz Save w oknie Amazon EC2 Integration Settings.

Instalacja Ochrony

Aby chronić instancje Amazon EC2 trzeba zainstalować na nich agenta Bitdefender Endpoint Security Tool. Podczas instalacji agenta trzeba przypisać Serwer Bezpieczeństwa. GravityZone posiada Serwery Bezpieczeństwa dostarczane do każdego regionu AWS. Wybierz Serwer Bezpieczeństwa z tego samego regionu co Twoja instancja.

Po więcej informacji na temat instalacji agentów bezpieczeństwa zajrzyj do Przewodnika Instalacji GravityZone.

Użyteczne rozważania: zmienianie External ID, błędy, oraz usuwanie integracji

Po skonfigurowaniu integracji musisz wziąć pod uwagę pewne aspekty, aby nie mieć problemów.

Zmiana External ID dla integracji Amazon EC2

Jeśli potrzebujesz, w każdej chwili możesz ponownie wygenerować External ID dla integracji Amazon EC2 w Control Center. Ta akcja spowoduje unieważnienie aktualnie używanego zewnętrznego identyfikatora, oraz integracji. Aby przywrócić integrację, musisz zaktualizować swoją rolę w konsoli AWS za pomocą nowego External ID.

Jak zmienić External ID:

1. Wejdź do Integrations.

2. Kliknij na istniejącą integrację Amazon EC2. Otworzy się okno AmazonEC2 Integration Settings.

3. Wybierz Generate. Okno z ostrzeżeniem poinformuje, że nowy External ID unieważni obecny. Również obecna integracja zostanie unieważniona dopóki nie zostanie zaktualizowana rola AWS z External ID.

4. Kliknij Confirm.

5. Skopiuj nowo wygenerowany External ID.

6. Zaloguj się do konsoli AWS nowej karcie przeglądarki.

7. Przejdź do Services > IAM > Roles, a następnie wybierz rolę.

8. Przejdź do Summary > Trust Relationship i wybierz Edit trust relationship.

9. Wprowadź nowy External ID w polu sts:ExternalID.

10. Kliknij Update Trust Policy.

11. Wróć do okna Amazon EC2 Integration Settings w GravityZone Control Center. Czas wprowadzania zmian może się różnić. Zaczekaj około 1 minuty, a następnie kliknij Save.

Wiadomości z Błędami

Pewne wiadomości z błędami poinformują, kiedy coś pójdzie nie tak z integracją Amazon EC2:

1. Could not save the changes. Either the provided External ID is incorrect, or the AWS role has propagated in all regions yet.

Ten błąd pojawia się podczas kliknięcia Save w oknie Amazon EC2 Integration Settings w następujących sytuacjach:

Polityka Amazon EC2 dla roli nie rozprzestrzeniła się do żadnego regionu AWS. Zaczekaj kilka sekund, a następnie kliknij ponownie Save.

Wprowadzono niepoprawny identyfikator zewnętrzny podczas tworzenia lub aktualizowania roli w konsoli AWS.

2. Amazon EC2 policy was not applied on all regions. Please wait a few seconds and try again.

Błąd ten pojawia się po kliknięciu Save w okno Amazon EC2 Integration Settings, kiedy polityka Amazon EC2 jest wprowadzona do kilku, ale nie do wszystkich regionów AWS. Zaczekaj chwilę dłużej i kliknij Save ponownie.

3. Not authorized to perform this operation. Make sure the AmazonEC2ReadOnlyAccess is attached to the user/role.

Błąd ten pojawia się po kliknięciu Save w okno Amazon EC2 Integration Settings, jeśli polityka AmazonEC2ReadOnly nie jest załączona do roli. Aby rozwiązać ten problem, zaloguj się do konsoli AWS, wejdź w Roles > [twoja rola] > Permissions > Attach policy, a następnie zaznacz brakującą politykę.

4. Invalid ARN for the specified role.

Błąd ten pojawia się po kliknięciu Save w okno Amazon EC2 Integration Settings po wprowadzeniu nieważnego ARN. Sprawdź ARN i kliknij Save ponownie.

5. Unknown communication error.

Błąd ten pojawia się jeśli napotkano błąd komunikacji po kliknięciu Save w oknie Amazon EC2 Integration Settings. Zaczekaj kilka sekund i kliknij Save ponownie.

6. Invalid Amazon User Credentials.

Otrzymujesz to powiadomienie e-mailem, gdy:

Polityka integracji z konsolą AWS (AmazonEC2ReadOnlyAccess) został odłączony od roli IAM.

Masz wygenerowany nowy External ID bez modyfikowania roli IAM lub rola External ID różni się od istniejącej w Centrum sterowania GravityZone.

Rola IAM została usunięta z AWS w istniejącej integracji Amazon EC2.

Ta wiadomość jest wysłana raz dziennie po:

Synchronizacji ręcznej, podczas kliknięcia w przycisk Synchronize with Amazon EC2Control Center > Network.

Automatycznej synchronizacji GravityZone z AWS, która odbywa się co 15 minut.

Usuwanie Integracji

Jeśli nie chcesz dłużej zarządzać bezpieczeństwem instancji Amazon EC2 z Bitdefenderem, możesz usunąć integrację z Control Center. Po szczegóły zajrzyj do tego artykułu.

Źródło: https://www.bitdefender.com/support/how-to-integrate-aws-with-gravity-zone-using-a-cross-account-role-2035.html